El Blog de Ciberseguridad de Micronet LATAM

Código QR: ¿Aliado o enemigo de la ciberseguridad?

Escrito por Jorian Enciso | 4/06/2021 07:48:58 PM

Hoy más que nunca los Códigos QR están en auge, ya sea por su practicidad o por la nueva normalidad que exige que las personas eviten el contacto físico con objetos compartidos. Cada día son más cotidianos y las empresas han sabido aprovecharlos. Sin embargo, cabe preguntarse ¿qué tan seguros son estos códigos para los usuarios, visto de la ciberseguridad?

 

En septiembre de 2020, MobileIron (proveedora de la plataforma de seguridad centrada en la movilidad para la Everywhere Enterprise), presentó los resultados de una encuesta  realizada a los usuarios sobre códigos QR. El estudio fue realizado en EE. UU., Reino Unido, Alemania, Países Bajos, Francia y España a más de 4.408 consumidores. Se comprobó que el 67% de los encuestados opinan que los códigos QR hacen su vida más fácil en la nueva normalidad.

 

Los usuarios poco saben o desconocen el mundo digital

 

No obstante, una cantidad significativa (47%) de los usuarios tienen inquietudes sobre la seguridad de los Códigos de Respuesta Rápida. Además, afirman que no tienen o desconocen si poseen un software de seguridad instalado en su Smartphone. Eso puede suponer problemas de seguridad tanto para los clientes como para las mismas empresas.

 

Los códigos QR no pueden ser jaqueados, mas pueden ser manipulados. Sus riesgos están relacionados más con el poco conocimiento que tienen los usuarios sobre higiene digital en sus móviles. Por ejemplo, los gadgets son los que abren la puerta a que un código QR pueda ser malicioso, aunque los códigos de respuesta rápida no son editables, sí pueden ser reemplazados por manos de algún cibercriminal.

 

Las estafas telefónicas son una realidad. Mira cómo cuidarte de ellas

 

Formas malintencionadas de usar los Códigos QR

 

Una de las desventajas, quizá del Quick Response, es que no sabemos lo que pasará luego de escanearlo. Eso es lo que permite que con facilidad muchos cibercriminales puedan explotarlo para sus fines.

 

Ataques de tipo phishing (Qrishing)

 

Este método es combinado con ingeniería social y usado por cibercriminales para obtener las credenciales de los usuarios. Esto lo logran mediante un código QR contenido en una página web, mensaje o correo electrónico. Al escanearlo es redirigido a una página web, que reemplaza a la de la empresa y solicita información confidencial. Hay que tener en cuenta que, si el usuario no verifica la dirección web, puede ser engañado fácilmente.

 

Por eso se recomienda revisar los enlaces antes de seguirlos. Un código QR, sin embargo, no nos da ese acceso.

 

Descarga de malware o inyección de código malicioso

 

Luego de redirigirte a un sitio web malicioso, este distribuirá malware en los dispositivos móviles, y una vez abierto descargará un software de manera forzosa que puede afectar las vulnerabilidades del sistema operativo de tu móvil. Este podrá realizar acciones en segundo plano y por ende el usuario no será consciente. Algunas de las tareas automáticas que pueden lograr estos cibercriminales son:

  • Añadir un contacto.
  • Hacer una llamada.
  • Redactar un borrador de correo electrónico y rellenar los campos de destinatario y asunto.
  • Enviar un mensaje de texto.
  • Compartir tu ubicación con una aplicación.
  • Crear una cuenta en una red social.
  • Programar un evento en el calendario.
  • Añadir una red wifi preferida con credenciales para conexión automática.

Todo esto hace de los códigos QR una alternativa fértil para ser usado de manera malintencionada y conseguir información de los usuarios o manipularlos.

 

QRLjacking o secuestro de sesión

 

Esta forma también hace uso de la ingeniería social para apropiarse de la cuenta de un servicio que necesite la función “Inicio de sesión con código QR”. Para ello tratan de engañar a la víctima para que escanee un código QR modificado que sustituye al original que ha sido capturado previamente por los cibercriminales. Al escanearlo, el cracker captura las credenciales de la sesión del usuario y accede de forma oculta a la información contenida dentro de la cuenta. Un ejemplo es el servicio de WhatsApp web.

 

Tus documentos hablan más de ti que tú mismo

 

Cómo evitar ser engañado. Algunas recomendaciones

 

Estas buenas prácticas son recomendadas por el Instituto Nacional de Ciberseguridad (INCIBE): 

  • Comprobar de forma frecuente que los códigos QR presentes en tu negocio no han sido cambiados ni modificados por terceras personas.
  •  
  • Elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc.
  •  
  • Comprobar que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos apps de lectura que permitan consultar la URL antes de abrirla.
  •  
  • Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta manera se podrá comprobar la dirección a la que enlaza el código. Solo se abrirá en el caso de que demos permiso para acceder.
  •  
  • Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio.
  •  
  • En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgues el código QR por redes sociales ya que podrías ser víctima de un fraude.
  •  

En conclusión

 

Por otra parte, también queda del lado de las empresas replantearse nuevas estrategias de seguridad, tanto para su negocio como para los usuarios. Esto enfocado en los dispositivos móviles principalmente.

 

 

 
Ver post completo