Se prevé que para 2022, más de cinco mil millones de códigos
QR se habrán escaneado o se habrá accedido a través de dispositivos móviles. Un
código QR es una forma adicional de comunicación sin contacto que una vez
escaneada, transmite información o dirige a una persona a otra fuente en línea.
La adopción de
códigos QR ha aumentado con el estilo de vida sin contacto al que muchos de
nosotros hemos tenido que adaptarnos, especialmente durante la pandemia
mundial. Los códigos QR se ven con frecuencia en anuncios, boletos de viaje,
documentación legal y de salud, así como en plataformas de redes sociales como
Facebook, WhatsApp y SnapChat. Se han utilizado como una alternativa a los
menús en los restaurantes e incluso tenemos la capacidad de usarlos para
transferir dinero. Algunos países han adoptado esta tecnología más que otros.
Por ejemplo, en China, los códigos QR son ahora la forma de vida usando diario
aplicaciones como WeChat. En el Reino Unido, durante la pandemia, las personas
solían ver y usar códigos QR al ingresar a lugares externos o al registrar
información sobre el coronavirus para el NHS. En los EE. UU., Durante las
elecciones presidenciales, se entregaron folletos a la población que contenían códigos
QR para ayudar a las personas a verificar si estaban inscritas para votar.
Una vez que se escanea cualquiera de estos códigos QR, se
notifica a los usuarios y se les solicita que vayan a una página web externa
para ingresar algún nivel de credenciales o incluso información personal. Si
bien los casos de uso son abundantes, existen muchos riesgos de seguridad
asociados con la tecnología de códigos QR que puede ser explotado por Hackers
al implementar ciberataques y estafas en línea.
Códigos QR y ciberataques
Desde la perspectiva de un atacante, los códigos QR
presentan la oportunidad perfecta para atacar a las masas sin mucho esfuerzo.
Esto comparte muchas similitudes con una estafa de phishing, que es uno de los
tipos de ataque más popular para los piratas informáticos modernos. Como se
mencionó, un código QR es un método sin contacto para un dispositivo móvil para
leer una URL. En cuanto a la creación de un código QR malicioso, los piratas
informáticos solo necesitan replicar los pasos que siguen al fabricar un
esquema de phishing. El phishing es la táctica más común utilizada con códigos
QR y se puede implementar fácilmente. incluso designados kits de phishing de
código QR que están fácilmente disponibles, son baratos y altamente
personalizables, lo que significa que los piratas informáticos pueden imitar
las marcas más populares del mundo para extraer información confidencial de sus
clientes.
A partir de los casos de uso de la vida real anteriores, un
actor de amenazas podría fabricar fácilmente un código QR similar para extraer
información, incluida la información de identificación personal. Estos
problemas de seguridad de “llamada a la acción”, en los que el
usuario desprevenido debe proporcionar una respuesta o interactuar (es decir,
escanear el código) para iniciar la estafa, prevalecen en el inframundo
cibernético.
Por ejemplo, si un consumidor esperaba iniciar sesión y
activar un servicio, los ciberdelincuentes podrían colocar un código QR dentro
de ese sitio y redirigir a ese usuario a un nuevo sitio web con problemas de
seguridad o incluso solicitar la descarga de una aplicación maliciosa. Además,
correos electrónicos o SMS Los mensajes pueden contener códigos QR maliciosos
que parecerán tener un impacto negativo en el dispositivo. Se sabe que los
piratas informáticos envían mensajes de seguimiento falsos con códigos QR al
imitar servicios de entrega reales.
En el mundo de las criptomonedas, los códigos QR se utilizan
para ayudar a los dispositivos móviles a localizar direcciones de billeteras
virtuales para transferir bitcoins u otras criptomonedas. Sin embargo, los
estafadores se han dado cuenta rápidamente de una falla simple que puede
resultar extremadamente costosa para la víctima. Porque un código QR puede ser creado
por casi cualquier persona podría ser engañada para enviar dinero a la
billetera de un pirata informático en lugar de la prevista; y debido a lo
difícil que es distinguir un código QR de otro, la víctima no se da cuenta. De
hecho, una red de Bitcoin- Los generadores de códigos QR supuestamente han
robado miles de víctimas en el último año.
La introducción de contenido malicioso en un código QR se
puede lograr con poco esfuerzo y con el uso generalizado de esta tecnología,
los piratas informáticos tienen amplias oportunidades para adaptar sus propios
códigos sobre los existentes sin ser detectados.
(adsbygoogle = window.adsbygoogle || []).push({});
Códigos QR y el lugar de trabajo
Debido a la situación mundial actual, muchas personas están
trabajando de forma remota y convirtiendo sus dispositivos personales en
dispositivos de trabajo para mantenerse productivos fuera del entorno de la
oficina. Sin embargo, esto presenta un problema importante para la seguridad
general de la infraestructura corporativa y los contenidos confidenciales que
se encuentran dentro de estos. Un empleado podría escanear sin saberlo un
código QR malicioso, iniciar sesión con sus credenciales y permitir que un
pirata informático recopile los datos de inicio de sesión o instale software
que pueda espiar o robar activos confidenciales.
Debido a la popularidad de los códigos QR en todo el mundo y
en todas las industrias, las empresas que utilizan esta tecnología deben estar
en alerta máxima para detectar posibles estafas. Como se mencionó
anteriormente, las campañas de códigos QR reflejan las de los esquemas de
phishing. Cuando se usa un dispositivo móvil, la mayoría de los usuarios no son
cautelosos y existe la dificultad adicional de no poder detectar los signos
reveladores de una amenaza de phishing debido a la pequeña naturaleza del
dispositivo.
Cómo prevenir ciberataques con códigos QR
En primer lugar, proporcionar más conciencia a los usuarios
podría reducir significativamente la cantidad de ataques de códigos QR
maliciosos. Al escanear un código a través de un dispositivo móvil, los
usuarios deben verificar el vínculo URL en la notificación antes de continuar
haciendo clic. Si parece sospechoso y no hace o no es como lo que esperaba, los
usuarios pueden ejercer el mismo nivel de precaución que tendrían con el
phishing por correo electrónico y salir de la aplicación. Pero, dado que los
atacantes pueden crear prácticamente cualquier URL que se ajuste a un código QR
y viceversa, puede ser extremadamente difícil detectar la falsificación de lo
real, y esto puede atrapar incluso a los profesionales más capacitados. Por lo
tanto, la implementación de una defensa contra amenazas móviles debe aplicarse
en todos los puntos finales para proteger a los usuarios de la interacción con
sitios web, aplicaciones o redes maliciosas. No opere una computadora de
escritorio o computadora portátil sin la seguridad adecuada; por lo tanto, los
dispositivos móviles deben recibir el mismo nivel de atención, especialmente
cuando las personas continúan operando fuera del perímetro de seguridad
adicional.
A medida que continuamos trabajando de forma remota, los
dispositivos móviles también se han convertido en las herramientas que
utilizamos para mantenernos productivos y, debido al aspecto personal, son un
objetivo principal para las estafas móviles. Las amenazas de códigos QR
seguirán siendo un problema constante a medida que aumente la adopción de
dispositivos móviles y las personas convergen su trabajo y sus dispositivos
personales.
