Cartas de bares y restaurantes, tarjetas de presentación y certificados de vacunación. Hoy en día, cada vez más personas utilizan los códigos QR para acceder a la información de manera rápida gracias a una conexión a internet. Sin embargo, la popularidad de la herramienta podría convertirla en el nuevo vector de ataque elegido por los ciberdelincuentes.
La alerta procede, entre otros, de Innovery, multinacional especializada en ciberseguridad. Tras analizar la evolución de los ataques de phishing, ha identificado este código como una posible arma en manos de los criminales informáticos. Tras la expansión del trabajo remoto y el smart working, en los últimos dos años se produjo un aumento significativo de los ciberataques contra las empresas. Este crecimiento ha llevado a encontrar nuevas formas de hacerse con los datos de los usuarios.
Gracias a la versatilidad y rapidez con la que se puede transmitir una serie de información, el uso de los códigos QR es muy apreciado por los usuarios. Se utilizan en los más variados contextos: para acceder a eventos y lugares públicos, para reservar visitas médicas, para recoger recetas, para la facturación electrónica, para sustituir billetes de papel y hasta para el pasaporte COVID.
El aumento de la utilización de dispositivos móviles para realizar muchas de nuestras actividades diarias nos expone a nuevos riesgos. Y la falta de conciencia sobre las posibles amenazas que puede transmitir el escaneo de los códigos QR es una preocupación cada vez más apremiante. No en vano, las autoridades han instado a no compartir estos códigos en las redes sociales para evitar suplantaciones de identidad, estafas y la creación de perfiles comerciales no deseados.
Las amenazas de los códigos QR
Por desgracia, los códigos QR enviados por correo electrónico pueden evadir los sistemas antiphishing más empleados. El qishing, como se llama esta técnica, funciona como hacer clic en un enlace. Pero, en este caso, el link no es visible, ya que está codificado en el código QR. Por tanto, se deben usar las mismas precauciones que se adoptan para los enlaces. De hecho, escanear código malicioso puede dirigir de manera automática a una URL de phishing donde se solicitan las credenciales del usuario.
El usuario que recibe el código está convencido de que se trata de una conexión auténtica, muchas veces confundido por un diseño que reproduce con fidelidad el de la página real. Entonces, la víctima desprevenida escribe sus credenciales, lo que permite a los atacantes tomar el control de sus cuentas de correo electrónico y redes sociales.
Escanear un código QR malicioso también puede llevar a los usuarios a una tienda de aplicaciones ilegítima. Allí puede descargar sin saberlo apps maliciosas que contienen ransomware, troyanos y otros tipos de malware. Estos, una vez instalados en su dispositivo, exponen a los usuarios al robo de datos y violación de la privacidad.
En el caso de documentos médicos, como las vacunas, existe el riesgo de revelar datos personales muy delicados. De hecho, es una clase de información que se puede utilizar para estafas específicas, la creación de perfiles comerciales e incluso para cometer ‘robo de identidad’. Con el objetivo de cometer ciberdelitos y estafar a otros desafortunados empleando la identidad de otra persona.
Como en el caso del phishing por correo electrónico, ante este nuevo tipo de ataques, que no son de gran complejidad, la solución más sencilla e inmediata es intervenir sobre el factor humano.
¿Cómo limitar los riesgos de los códigos QR?
Para mitigar los riesgos, hay que concienciar a los ciudadanos a través de cursos de formación y campañas de comunicación sobre las nuevas técnicas de ataque a las que nos podemos enfrentar. Hay muchas aplicaciones seguras para el escaneo de códigos QR que permiten a los usuarios obtener una vista previa de los sitios web. Y siempre es mejor recurrir a las tiendas oficiales para descargar aplicaciones.
Los códigos QR también se emplean para realizar transacciones de Bitcoin entre usuarios. De hecho, basta con escanear uno para obtener una transferencia de criptomonedas. De esta manera, informa Innovery, solo en el mes de marzo de 2020, utilizando aplicaciones de escaneo malicioso, se robaron 45 000 € en Bitcoin.
Al igual que con los correos electrónicos de phishing, se requiere especial atención al escanear los códigos QR con dispositivos móviles corporativos. La probabilidad de aterrizar en sitios hostiles y descargar aplicaciones maliciosas, capaces de evadir cualquier sistema de seguridad de la infraestructura, es muy alta.
Entre los consejos para limitar los riesgos en el uso de los códigos QR, los expertos en ciberseguridad recuerdan:
- No compartir QR con datos personales a menos que sea necesario.
- Evitar siempre la apertura automática de una página desde el código QR. Hay que mirar al detalle la dirección URL.
- Asegurarse de que el código QR provenga de una fuente acreditada. Cuando se trata de códigos impresos, como una carta de bar, averiguar que sean los originales y que no se hayan pegado encima.
- Si el dispositivo no cuenta con un lector QR integrado, hay que descargar aplicaciones calificadas.
- Evitar escanear códigos QR de las redes sociales y de correos electrónicos inesperados.
Por Alberto Barbieri
Imágenes | sentidos humanos/Unsplash, Markus Winkler/Unsplash, Lukas/Unsplash