- Por Anna Chung, analista principal de amenazas en Unit 42, Palo Alto Networks.
Los códigos QR se utilizan como una herramienta clave para reducir los puntos de contacto y el rastreo de contactos durante la pandemia, lo que permite compartir datos de manera más conveniente y sin necesidad de contacto. No son inseguros por sí solos, pero podrían estar expuestos a ciberataques.
Los códigos de respuesta rápida (QR por sus siglas en inglés –quick response code-) pueden compararse con los acortadores de URL: dan acceso instantáneo a sitios web e información de contacto. También pueden permitir a los usuarios iniciar sesión en una red Wi-Fi sin contraseña. Hoy en día, los usamos cada vez más en diferentes aspectos de la vida, pero ¿pensamos antes de escanear un código QR?
La tecnología de códigos QR es segura en sí misma, pero a medida que aumenta nuestra dependencia de ellos, los ciberdelincuentes los tienen más en su punto de mira. Estos códigos podrían ofrecer una entrada a posibles ataques cibernéticos porque no brindan visibilidad de la página web, la aplicación, etc., que está detrás de ellos. A cambio, redirigen automáticamente a los usuarios a páginas web, tiendas de aplicaciones para descargas, puntos de pago e incluso permiten a los ciberdelincuentes inmiscuirse en el proceso. Durante la pandemia, Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, ha observado las conversaciones de los ciberdelincuentes sobre las formas de aprovecharse de los códigos QR y así atacar a los consumidores en sus rutinas cotidianas. También se encontraron herramientas de código abierto y vídeo tutoriales que ofrecen formación sobre cómo realizar ataques mediante códigos QR.
En 2018, Juniper Research predijo que el uso de códigos QR se multiplicaría por cuatro hasta 2022, ya que esta funcionalidad de escaneo QR está integrada en las cámaras de la mayoría de smartphones. Sin embargo, es probable que la pandemia haya provocado aún más el aumento en el uso de esta tecnología, por lo que debemos tener cuidado con lo que estamos escaneando.
¿Cómo pueden explotar los ciberdelincuentes los códigos QR?
Hay varias formas en que los ciberdelincuentes pueden aprovechar los códigos QR para sus propios objetivos maliciosos. Un método sería piratear el sitio web de una empresa y reemplazar el código QR por el suyo. Con códigos QR tan parecidos, es muy difícil detectar un cambio. Escanear este código podría dirigir automáticamente a los consumidores desprevenidos a una URL de phishing, donde los ciberdelincuentes podrían solicitar credenciales de usuario y luego tomar el control de su correo electrónico o sus cuentas de redes sociales, por ejemplo. También podría llevar a los usuarios a una tienda de aplicaciones menos legítima donde, sin saberlo, podrían descargar una aplicación maliciosa que contenga un virus, spyware, troyano u otro tipo de malware que podría llevar al robo de datos, violación de la privacidad (robo de GPS o lista de contactos, llamadas / mensajes interceptados), extorsión de ransomware o, a veces, criptominería.
Otra técnica del ciberdelincuente es un honeypot. Consiste en configurar una red Wi-Fi insegura que prometa Internet gratis a cualquiera que escanee su código QR. Una vez que un dispositivo esté conectado, los piratas informáticos pueden espiar o interceptar los datos que se comparten y robar información personal identificable, información comercial confidencial, credenciales bancarias online e información de tarjetas de crédito. Dado que es probable que teletrabajo continúe, es importante que conocer estos métodos y solo iniciar sesión en redes Wi-Fi seguras.
Códigos QR: piensa antes de escanear
¿Cómo podemos protegernos? A simple vista, no hay forma de saber si los ciberdelincuentes están abusando de un código QR, pero hay muchas precauciones que se pueden tomar para evitar ser víctimas.
Los empresarios y los administradores de TI deben realizar comprobaciones periódicas de integridad en sus sitios y aplicaciones para asegurarse de que el código y el enlace que proporcionan es el que quieren proporcionar. Pueden hacer esto escaneando regularmente el código para verificar si el enlace dentro del código QR es correcto. Deben verificar la versión tanto del navegador web como del móvil, ya que se sabe que los ciberdelincuentes solo comprometen esta última para reducir la posibilidad de detección.
Las empresas también deben proporcionar al personal formación en temas de ciberseguridad para que sean conscientes de los riesgos para la organización y para ellos mismos. Estos incluyen el uso de contraseñas sólidas y únicas para las cuentas personales y laborales, la configuración de la autenticación multifactor y la identificación de correos electrónicos de phishing, así como de entornos virtuales inseguros. Dado que muchos empleados siguen trabajando desde entornos no corporativos, la formación en posibles amenazas de ciberseguridad permitirá que los teletrabajadores sean capaces de tomar decisiones sensatas, evitando que los atacantes obtengan acceso a redes, dispositivos y datos personales y corporativos.
A todos nos han enseñado a «pensar antes de hacer clic» en un enlace o correo electrónico sospechoso, pero ahora es el momento de revisar esto para los códigos QR, así que es crucial pensar antes de escanear. Por tanto, hay que evitar escanear un código QR si no se sabe a dónde lleva, y obtener una vista previa del sitio web y el nombre de dominio para asegurarse de que es el sitio correcto. Existen muchas aplicaciones seguras de escaneo de códigos QR que permiten a los usuarios obtener una vista previa de los sitios web antes de visitarlos. Muchos navegadores también permiten a los usuarios deshabilitar los redireccionamientos automáticos a sitios web para permitir que las personas verifiquen el dominio de la URL para decidir si es de confianza, proporcionando información adicional antes de tomar medidas.
También es importante asegurarse de descargar solo aplicaciones de fuentes de confianza como App Store de Apple o Google Play Store. Y actualizar de forma continua todos los dispositivos inteligentes para beneficiarse de las últimas protecciones de seguridad.
En resumen, las conclusiones clave son:
- Pensar antes de escanear.
- Verificar despues de escanear.
- Estar alerta.
Al igual que con todas las tecnologías que están en auge, es probable que haya un aumento en los intentos de abusar de los códigos QR en los próximos meses, por lo que es muy importante estar al tanto de los riesgos para poder tomar las precauciones adecuadas. Los códigos QR seguirán desempeñando un papel importante a medida que comencemos a recuperarnos de la pandemia de COVID-19. Por lo tanto, hay que pensar detenidamente antes, durante y después de escanear códigos QR para maximizar las posibilidades de proteger sus dispositivos y datos.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Piensa antes de escanear: ¿cómo resolver un problema como la seguridad del código QR? https://t.co/xzBMvrS5xs
Piensa antes de escanear: ¿cómo resolver un problema como la seguridad del código QR? https://t.co/DT8qw3JjaU
RT @CyberWireNews: Piensa antes de escanear: ¿cómo resolver un problema como la seguridad del código QR? https://t.co/xzBMvrS5xs