Youtube Facebook-f Linkedin-in Instagram
CONTACTAME
Ciberseguridad PHISHING
_ _ imagenti_ 0 Comments

QR ¿es un riesgo para la seguridad?

Aunque los códigos QR llevan entre nosotros unos cuantos años, la pandemia ha hecho que su uso se extienda mucho más para evitar el contacto con determinados objetos que pasan por las manos de muchas personas. Sin embargo, los códigos QR no están exentos de ser usados con intenciones maliciosas

¿Qué son los códigos QR?

Los códigos QR (abreviatura de “Quick Response code”, traducible como “código de respuesta rápida”) son una tecnología de 1994. Además de permitir consultar cartas de restaurantes, que es como los han conocido muchos usuarios, son capaces de almacenar una gran cantidad de información, tienen otros usos como acceder rápidamente a la dirección y claves de una wifi pública, llamar por teléfono, mandar un mensaje en WhatsApp o enlazar a diferentes archivos y páginas web.

¿Para qué se usan los códigos QR?

Los códigos QR sirven para diferentes funciones, aunque la principal y más conocida por los usuarios es la de poder acceder a contenidos en Internet a través de ellos, pero otros usos son:

  • Información de acceso a una red WiFi (nombre de la red, contraseña y tipo de cifrado de información empleado).
  • Acceso a descarga de aplicaciones en tiendas oficiales o páginas oficiales.
  • Acceso a contenido protegido en documentos oficiales.
  • Como medio para generar contraseñas de un solo uso o códigos cifrados para acceder a determinados servicios (por ejemplo, el código QR que se usa para poder acceder a WhatsApp Web).
  • Como entradas o billetes para acceder a medios de transporte, zonas vips o zonas de ocio.
  • Para hacer el seguimiento de productos en el sector del transporte y la logística.
  • En algunos países se han empezado a usar como método de pago con el móvil.

En general, los ciberdelincuentes aprovechan muchas veces la confianza de los usuarios en los códigos QR, ya que cada vez están más acostumbrados a escanearlos, para llevar a cabo sus ataques, puesto que muy pocos usuarios son capaces de diferenciar entre un código QR lícito y otro malicioso.

La suplantación de identidad (phishing) consiste en fingir que te has conectado a la página correcta, por ejemplo, la carta de un restaurante, pero en realidad es otro sitio. Una vez allí los estafadores te piden datos personales simulando que los necesitan para servirte en tu mesa. Es un timo y en este caso se conoce como “Qrishing”.

Del phishing al Qrishing

En el caso del secuestro del propio dispositivo, como explica la página WeLiveSecurity, los atacantes capturan tu sesión, por ejemplo la de una mensajería como Whatsapp. Tu identidad se queda “almacenada en la computadora del criminal y este puede utilizarla como desee, incluso sin causar ningún tipo de interrupción en el uso de la aplicación en el teléfono de la víctima”. Esta modalidad se conoce como “QRLjacking”.

Cómo evitar estos fraudes mediante QR

El primer consejo siempre es mantenerse alerta y desconfiar cuando te pidan que facilites información personal (por ejemplo tus datos bancarios). Configurar nuestro teléfono para que no actúe sin nuestro permiso y fijarse mucho en si hay alguna pegatina añadida.
Tómate unos segundos para leer la dirección y preguntarte si hay algo raro ¿El nombre de la página (dominio) es coherente con el sitio al que esperas acceder? ¿Hay faltas de ortografía evidentes?

QR maliciosos

A través de la creación de un código QR malicioso, se puede dirigir a los usuarios a una web fraudulenta para llevar a cabo la siguiente fase del ataque.

Ataques como, por ejemplo, añadir una lista de contactos en el teléfono para llevar a cabo un ataque de spear phishing, enviar mensajes o correos electrónicos desde el móvil, etc.

Cuidado con las estampas

Las estampas añadidas a los folletos publicitarios se colocan encima del código QR original para hacerlos pasar por auténticos. En este caso, los expertos en ciberseguridad piden también a los dueños de los negocios que revisen periódicamente los códigos que están en lugares accesibles (por ejemplo, pegados sobre la mesa de una terraza) para que nadie los cambie por otros fraudulentos.

Otro consejo consiste en mantener nuestros sistemas actualizados. En cada nueva versión se añaden características añadidas de seguridad como resultado de la experiencia de otros usuarios. El INCIBE también pide que, en el caso de códigos QR “que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas”, no los compartamos en redes sociales porque podríamos estar colaborando con la difusión de un engaño.

Descarga de malware

Los códigos QR también se pueden usar para conducir a los usuarios a una web de descarga de malware o de inyección de código malicioso. Para esta técnica se suelen aprovechar vulnerabilidades o llevar a cabo un ataque drive by download; una descarga forzada de malware al visitar un sitio web.

Una vez descargado el malware en el dispositivo, este puede aprovechar vulnerabilidades para llevar a cabo otras acciones como, por ejemplo, sustraer información confidencial, activar y usar las cámaras o micrófono del dispositivo, unirlo a una botnet, suscribir al usuario a un servicio premium, etc.

Añadir una red WiFi comprometida

Un código QR comprometido puede añadir una red WiFi maliciosa como una de confianza a la lista de redes inalámbricas del móvil, haciendo que el usuario se conecte a ella pensando que es segura y dejando así acceso a su dispositivo y sus cuentas a los cibercriminales.

Cómo proteger los códigos QR para no poner en riesgo la seguridad de los clientes

Aunque los peligros de los códigos QR son una realidad y es muy probable que los ataques a través de ellos se incrementen, hay formas de proteger a nuestros clientes de ellos:

  • Como ya dijimos, comprobar regularmente que el código QR conduce a donde debe conducir y no a una web falsa.
  • Utilizar un generador de códigos QR que ofrezca garantías y confianza en materia de seguridad.
  • Comprobar que el código QR no ha sido modificado.

En cuanto a los usuarios, basta con tomar algunas precauciones:

  • No escanear códigos QR de dudosa procedencia.
  • Utilizar aplicaciones de escaneo que permitan ver la URL antes de abrirla o habilitar la opción si cuenta con ella la app de escaneo que tenemos instalada.
  • Si hemos accedido a la web, comprobar la URL antes de introducir ninguna credencial en ella.

Si tu teléfono ya ha sido atacado, por ejemplo si hay un troyano que despliega publicidad no deseada o ha cambiado las aplicaciones nativas de tu móvil, te recomendamos que adquieras un antivirus para limpiarlo o que restablezcas tu móvil a la configuración de fábrica. Para este último extremo, es importante que realices copias de seguridad de tus datos de manera habitual.

6

Author

imagenti

Tu socio de confianza en ciberseguridad
Conócenos
Contacto

info@imagenti.mx

Siguenos en:
Linkedin Facebook Instagram Youtube Twitter
Conoce más sobre WithSecure