Recursos

Blogs, eBooks, Webinars, y más para ayudarte
a transformar tu negocio en la era digital.

Seguridad del código QR: Lo que necesitas saber hoy

Posted by Alejandro Durán on 12/29/21 6:09 AM

iStock-482454523

El qrishing, la descarga de software malicioso y el qrljacking son los principales tipos de ataques que los ciberdelincuentes realizan a través de este formato.

Los códigos QR son muy comunes hoy en día, lo suficiente como para que los atacantes estén descubriendo formas de usarlos para obtener sus fines. Por lo mismo, se hace imperativo entender cómo se pueden usar maliciosamente los códigos QR y qué puedes hacer para aumentar la seguridad de los códigos QR y protegerte contra estas estafas.

¿Para qué se utilizan los códigos QR?

Los códigos QR, abreviatura de “códigos de respuesta rápida”, nacieron en 1994 para lograr que el fabricante japonés de repuestos para automóviles Denso Wave rastreara repuestos en las fábricas de automóviles. Estos códigos de barras bidimensionales permiten que la cámara de un teléfono inteligente lea hasta 4.000 caracteres de información de forma instantánea.

Hasta hace un par de años no estaban muy presentes en la vida de las personas, pero llegó la pandemia y estos códigos cobraron una utilidad incalculable como método para evitar el contacto físico en una serie de interacciones cotidianas, como consultar la carta de un restaurante o presentar el pasaporte Covid.

En 2020, los consumidores y las empresas adoptaron muchas soluciones sin contacto. Las empresas de pago centradas en aplicaciones, organizaciones benéficas, organismos sin fines de lucro y sistemas de puntos de venta utilizaron generadores de códigos QR en línea como una forma de crear portales de clientes que evitaran presionar botones e intercambiar tarjetas de crédito.

Las pantallas inteligentes ahora pueden admitir códigos QR para escanear artículos comestibles y agregarlos a una lista de compras. Las redes sociales han adoptado códigos QR para vincular a perfiles personales. No hay duda de que los códigos QR son ahora muy populares.

Una encuesta de MobileIron señaló que el 84% de los encuestados había escaneado un código QR alguna vez, y que un tercio lo había hecho la semana anterior. Esto plantea la pregunta: ¿son seguros los códigos QR?

Problemas de seguridad del código QR

Desde que se desató la pandemia, instituciones y cuerpos de seguridad han alertado en varias ocasiones del crecimiento de las estafas a través de códigos QR y los riesgos que entrañan.

Los códigos QR son convenientes y excepcionalmente poderosos para los delincuentes. Esencialmente, pueden servir como URL, ofreciendo el mismo tipo de riesgos que abrir un sitio web malicioso en un teléfono. Pero, a diferencia de una URL, es menos probable que las personas reconozcan un código QR malicioso.

Más allá de las URL, también benefician a los ciberdelincuentes porque la mayoría de la gente no sabe que un código QR puede escribir un email o un mensaje de texto o hacer una llamada telefónica.

Más de un tercio de los encuestados por MobileIron afirma que no le preocupa el riesgo de seguridad de usar códigos QR.

Los atacantes pueden enviar códigos QR maliciosos a través de mensajes instantáneos, redes sociales, emails, SMS, lo que sea. Y los códigos QR pueden iniciar acciones en los teléfonos inteligentes, como echar a andar una aplicación de pago y realizar un pago, agregar un contacto o seguir una cuenta maliciosa en las redes sociales. También pueden divulgar la ubicación de la víctima o agregar una red Wi-Fi maliciosa.

Según el Instituto Nacional de Ciberseguridad, las principales tácticas que emplean códigos QR son tres: qrishing (phishing a través de códigos QR), la descarga de malware y el qrljacking o secuestro de las credenciales de usuario.

¿Qué es el qrishing?

Es una variación del mucho más conocido “phishing” o suplantación de identidad. Es decir, cuando la víctima accede a una página web fraudulenta (imitando la de una entidad bancaria, por ejemplo) cuyo objetivo es que introduzca sus credenciales de usuario u otra información sensible que queda en manos del ciberdelincuente.

Es decir, a las habituales campañas de phishing por correo electrónico o SMS hay que añadir las de qrishing, que se producen cuando el acceso a la web fraudulenta se realiza escaneando la URL contenida en un código QR.

Un factor de riesgo añadido es que, según la aplicación QR que se emplee y su configuración, ésta puede abrir directamente el enlace sin que el usuario tenga ocasión de verlo primero y comprobar si coincide con el dominio legítimo de la web en cuestión.

Códigos QR y descarga de malware

De la misma forma que un código QR puede redirigir al usuario a una web fraudulenta también puede hacerlo a una web maliciosa que aproveche un exploit para inyectar código malicioso en el dispositivo o fuerce la descarga de malware al visitar la web.

Este tipo de webs están diseñadas para explotar vulnerabilidades a nivel de software en el sistema operativo o el navegador empleado y exponen a la víctima a una amplia variedad de acciones maliciosas.

¿Qué es el qrljacking?

Este anglicismo es como se conoce al secuestro de inicio de sesión en servicios que emplean un código QR como es el caso de la versión web de WhatsApp. Este tipo de ataque se produce cuando se engaña a la víctima para que escanee un código QR modificado que suplanta al original, de forma que el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta.

Consejos para evitar estafas con códigos QR

Existen varias formas de minimizar el riesgo de estafas y problemas de seguridad vinculados a los códigos QR.

  • Si alguien parece enviarte un código QR, comunícate con el supuesto remitente y pregúntale si lo envió.
  • Si tienes un negocio que emplea códigos QR, comprobar de forma regular que no han sido cambiados ni modificados por terceras personas.
  • Debes estar atento a los enlaces de URL abreviados que aparecen después de escanear un código QR, que pueden ocultar URL maliciosas.
  • Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta manera se podrá comprobar la dirección a la que enlaza el código.
  • Organizaciones: implementar una solución de defensa móvil que bloquee los intentos de phishing, exploits, tomas de posesión de teléfonos y descargas no autorizadas.
  • Adoptar la autenticación multifactor en lugar del acceso con contraseña a las aplicaciones y los recursos de la nube.

En estos días, es importante cubrir todas tus bases en lo que respecta a la protección de datos móviles. La defensa contra los códigos QR maliciosos, cada vez más generalizados, debería encabezar tu lista de prioridades.


Nueva llamada a la acción

 

Suscríbete a nuestro Newsletter

Suscríbete