This post is also available in: Português Español
La pandemia del coronavirus mudó muchas cosas en la cotidianidad, y entre los impactos tecnológicos está el aumento de uso de códigos QR. No sorprende que los cibercriminales aprovechen esta oportunidad y las vulnerabilidades de la tecnología para aplicar estafas.
Pero, ¿qué es un código QR?
A pesar de parecer una tecnología reciente, el Quick Response Code – Código de Respuesta Rápida – fue creado en 1994 por Denso-Wave, en Japón.
El código QR es una evolución del código de barras, que existe desde 1970 y ha revolucionado la identificación de productos. Consiste en un gráfico 2D, que puede ser leído por las cámaras de la mayoría de los teléfonos celulares.
Inicialmente, el código QR se creó para facilitar la clasificación de piezas de automóviles. Pero poco después quedó claro que podría ser útil en otras áreas, para ofrecer más información e incluso contenidos exclusivos, ya que cuenta con una alta capacidad de almacenamiento de datos.
Como es un código visual, puede ser en forma digital, en un dispositivo, o en forma física, impresa.
Una de las ventajas es llevar al consumidor directamente a donde quieres que vaya, eliminando la necesidad de ingresar direcciones en los navegadores de los teléfonos inteligentes.
Otro beneficio es hacer la vida más fácil en un mundo donde las transacciones sin contacto se han vuelto deseadas o necesarias.
El escaneo de códigos QR es simple y efectivo
Los ciberdelincuentes se están aprovechando de todos los agujeros de seguridad durante la pandemia, apuntando cada vez más a los dispositivos móviles con ataques más sofisticados.
Al utilizar sus dispositivos móviles, los usuarios tienden a distraerse, lo que los hace propensos a ser víctimas de ciberataques.
Los atacantes pueden incrustar fácilmente una URL maliciosa que contenga malware personalizado en un código QR, que puede extraer datos de un dispositivo móvil cuando se escanea. También pueden incrustar una URL maliciosa en un código QR que apunta a un sitio de phishing y engaña a los usuarios para que revelen sus credenciales.
Los códigos QR no son legibles por humanos. Por lo tanto, la capacidad de cambiar un código QR para que apunte a un recurso alternativo sin ser detectado es simple y muy eficaz.
Una encuesta realizada por MobileIron mostró que la mayoría de las personas no pueden distinguir entre un código QR legítimo y uno malicioso. Si bien son conscientes de que los códigos QR pueden abrir una URL, son menos conscientes de las otras acciones que estos códigos pueden iniciar.
Según el vicepresidente global de MobileIron, Alex Mosher:
«Un ataque exitoso al dispositivo móvil personal de un empleado podría comprometer la información personal o agotar los recursos financieros, así como filtrar datos corporativos confidenciales».
¿Cómo explotan los ciberdelincuentes el código QR?
Lo que hace que las amenazas de seguridad del código QR sean especialmente problemáticas es el elemento sorpresa entre los usuarios desprevenidos. Todavía no hay registros de ataques directos a códigos QR, pero hay muchos ejemplos de atacantes que utilizan sus propios códigos en el curso de los ataques.
El gran problema es que los códigos QR pueden iniciar varias acciones en el dispositivo del usuario, como abrir un sitio web, agregar un contacto o redactar un correo electrónico. Sin embargo, los usuarios a menudo no tienen idea de lo que sucederá cuando lean el código.
Un ataque común consiste en publicar un código QR malicioso en público, a veces enmascarando un código QR legítimo. Cuando los usuarios desprevenidos escanean el código, son enviados a una página web maliciosa, que puede albergar un kit de explotación, o a una página de inicio de sesión falsa, que puede robar las credenciales del usuario.
El phishing es la forma más común de explotar códigos QR, ya que facilita el robo de credenciales, el compromiso de dispositivos, el robo de datos y la vigilancia maliciosa de dispositivos. Estas son las principales preocupaciones de empresas y consumidores.
Si los códigos QR conducen a sitios de pago, los usuarios pueden divulgar sus contraseñas y otra información personal que corre el riesgo de caer en manos equivocadas.
Rahul Telang, profesor de sistemas de información en Heinz College en la Universidad Carnegie Mellon, dice:
“Muchos sitios realizan descargas ocultas, por lo que la mera presencia en el sitio puede desencadenar la descarga de software malicioso. Los dispositivos móviles en general tienden a ser menos seguros que las computadoras portátiles o las computadoras. Dado que los códigos QR se utilizan en dispositivos móviles, la posibilidad de vulnerabilidad también es mayor”.
Telang continúa diciendo que, dado que muchos de estos dispositivos móviles se utilizan en el contexto de la TI corporativa, la infiltración de dispositivos puede convertirse en una debilidad de seguridad para las organizaciones.
¿Cómo disminuir el riesgo de explotación del código QR?
Los usuarios y las organizaciones pueden tomar medidas para ayudar a mitigar el riesgo de las amenazas de seguridad de los códigos QR. Pero sobre todo se trata de sentido común.
Los usuarios deben determinar la legitimidad de los códigos antes de escanearlos. Preste mucha atención antes de escanear un código, especialmente en materiales impresos en un lugar público. Es importante asegurarse de que no se haya pegado con un código diferente, que podría ser malicioso.
Se recomienda no utilizar ningún código QR que parezca haber sido alterado de alguna manera. Y nunca inicie sesión en una aplicación usando un código QR.
Telang también advierte sobre la importancia de estar siempre alerta para asegurarse de que se trata de un sitio web legítimo, ya que los ataques de phishing se encuentran entre los riesgos más importantes de los códigos QR.
“Las empresas deben tener cuidado y tener una solución de punto final unificado que les brinde la capacidad de proteger todos los dispositivos sin afectar la productividad”, dice.
La seguridad de los dispositivos, como la defensa contra amenazas móviles y la protección contra vulnerabilidades, es fundamental para todos los periféricos utilizados para acceder a los recursos corporativos.
Otra práctica de prevención es asegurarse de que la organización que presenta los códigos QR al público sea legítima. Si la fuente del código QR parece estar incompleta, se recomienda no escanearla.
Los equipos de ciberseguridad y TI, y las empresas en su conjunto, deben ser conscientes de los riesgos que implican los códigos QR.
Fuente: MobileIron.
This post is also available in: Português Español