Saltar al contenido
computerg

馃 驴Est谩s Seguro De Que Este C贸digo QR Es Seguro?

abril 27, 2021

Se prev茅 que para el 2022, m谩s de cinco mil millones de c贸digos QR ser谩n escaneados o accedidos por dispositivos m贸viles. Un c贸digo QR es una forma adicional de comunicaci贸n sin contacto que, cuando se escanea, transmite informaci贸n o dirige a una persona a otra fuente, sitio web o aplicaci贸n en l铆nea. La adopci贸n de c贸digos QR ha aumentado junto con el estilo de vida sin contacto al que muchos de nosotros hemos tenido que adaptarnos, especialmente durante la pandemia mundial.

Los c贸digos QR se ven con frecuencia en anuncios, boletos de viaje, literatura legal y de salud, as铆 como en plataformas de redes sociales como Facebook, WhatsApp y SnapChat. Se han utilizado como alternativa a los men煤s de los restaurantes e incluso tenemos la opci贸n de utilizarlos para transferir dinero. Algunos pa铆ses han adoptado esta tecnolog铆a m谩s que otros. Por ejemplo, en China, los c贸digos QR son ahora la forma de vida de facto gracias a aplicaciones como WeChat. En el Reino Unido, durante la pandemia, las personas generalmente ve铆an y usaban c贸digos QR al ingresar a lugares al aire libre o al registrar informaci贸n sobre el coronavirus para el NHS. En los Estados Unidos, durante las elecciones presidenciales, se distribuyeron folletos a la poblaci贸n que conten铆an c贸digos QR para ayudar a las personas a verificar si estaban registradas para votar.

Una vez que se escanea uno de estos c贸digos QR, se notifica a los usuarios y se les solicita que vayan a una p谩gina web externa para ingresar alg煤n nivel de credenciales o incluso informaci贸n personal. Aunque hay muchos casos de uso, existen muchos riesgos de seguridad asociados con la tecnolog铆a de c贸digos QR que los piratas inform谩ticos pueden aprovechar al implementar ataques cibern茅ticos y estafas en l铆nea.

Sobre el Autor

Hank Schless es director s茅nior de soluciones de seguridad en Lookout

C贸digos QR y ciberataques

Desde la perspectiva de un atacante, los c贸digos QR presentan la oportunidad perfecta para apuntar a las masas sin mucho esfuerzo. Comparte muchas similitudes con una estafa de phishing, que es el vector de ataque m谩s popular para los piratas inform谩ticos modernos. Como se mencion贸, un c贸digo QR es un m茅todo sin contacto para que un dispositivo m贸vil lea una URL. Cuando se trata de crear un c贸digo QR malicioso, los piratas inform谩ticos solo necesitan duplicar los pasos que toman al fabricar un programa de phishing. El phishing es la t谩ctica m谩s com煤n que se usa con los c贸digos QR y se puede implementar f谩cilmente; incluso hay kits de phishing con c贸digos QR que est谩n f谩cilmente disponibles, son econ贸micos y altamente personalizables. Esto significa que los piratas inform谩ticos pueden emular las marcas m谩s populares del mundo para extraer informaci贸n confidencial de sus clientes.

A partir de los casos de uso reales anteriores, un actor de amenazas podr铆a crear f谩cilmente un c贸digo QR similar para extraer informaci贸n, incluida la informaci贸n de identificaci贸n personal. Estos problemas de seguridad de 鈥榣lamada a la acci贸n鈥, en los que el usuario desprevenido debe proporcionar una respuesta o interactuar (es decir, escanear el c贸digo) para iniciar la estafa, son frecuentes en todo el mundo.

Por ejemplo, si un consumidor esperaba iniciar sesi贸n y activar un servicio, los ciberdelincuentes podr铆an colocar un c贸digo QR en ese sitio y redirigir a ese usuario a un nuevo sitio web con problemas de seguridad o incluso solicitar la descarga de una aplicaci贸n maliciosa. Adem谩s, los correos electr贸nicos o mensajes SMS pueden contener c贸digos QR maliciosos que parecer谩n tener un impacto negativo en el dispositivo. Se sabe que los piratas inform谩ticos env铆an mensajes de seguimiento falsos con c贸digos QR cuando imitan los servicios de entrega reales.

En el espacio de las criptomonedas, los c贸digos QR se utilizan para ayudar a los dispositivos m贸viles a localizar direcciones de billeteras virtuales para transferir bitcoins u otras criptomonedas. Sin embargo, los delincuentes se dieron cuenta r谩pidamente de una simple laguna que puede resultar extremadamente costosa para la v铆ctima. Debido a que casi cualquier persona puede crear un c贸digo QR, es posible que deba enviar dinero a la billetera de un pirata inform谩tico en lugar de la deseada; y debido a la dificultad de distinguir un c贸digo QR de otro, la v铆ctima no es m谩s sabia. De hecho, una red de generadores de c贸digos QR de Bitcoin ha robado miles de v铆ctimas durante el a帽o pasado.

La introducci贸n de contenido malicioso en un c贸digo QR se puede lograr con poco esfuerzo y con el uso generalizado de esta tecnolog铆a, los piratas inform谩ticos tienen muchas oportunidades de adaptar sus propios c贸digos a los c贸digos existentes sin ser detectados.

C贸digos QR y lugar de trabajo

Debido a la situaci贸n global actual, muchas personas trabajan de forma remota y convierten sus dispositivos personales en dispositivos de trabajo para mantenerse productivos fuera del entorno de la oficina. Sin embargo, esto plantea un problema importante para la seguridad general de la infraestructura de la empresa y el contenido sensible que se encuentra dentro de estas cuatro paredes. Un empleado podr铆a escanear involuntariamente un c贸digo QR malicioso, iniciar sesi贸n con sus credenciales y permitir que un pirata inform谩tico recopile la informaci贸n de inicio de sesi贸n o instale software que pueda espiar o robar activos confidenciales.

Debido a la popularidad de los c贸digos QR en todo el mundo y en todas las industrias, las empresas que utilizan esta tecnolog铆a deben estar en alerta m谩xima para detectar posibles estafas. Como se mencion贸 anteriormente, las campa帽as de c贸digos QR reflejan las de los esquemas de phishing y deben verse de la misma manera. Al usar un dispositivo m贸vil, la mayor铆a de los usuarios no tienen cuidado y existe la dificultad adicional de no poder detectar signos reveladores de una amenaza de phishing debido a la peque帽a naturaleza del dispositivo.

C贸mo prevenir ciberataques con c贸digos QR

En primer lugar, una mayor conciencia de los usuarios podr铆a reducir dr谩sticamente el n煤mero de ataques de c贸digos QR maliciosos. Al escanear un c贸digo a trav茅s de un dispositivo m贸vil, los usuarios deben verificar el enlace URL en la notificaci贸n antes de continuar haciendo clic. Si parece sospechoso y no se ve como esperaba, los usuarios pueden tener el mismo nivel de precauci贸n que con el phishing por correo electr贸nico y salir de la aplicaci贸n. Pero, dado que los atacantes pueden crear pr谩cticamente cualquier URL para que se ajuste a un c贸digo QR y viceversa, detectar la falsificaci贸n de lo real puede ser extremadamente dif铆cil, y puede atrapar incluso a los profesionales m谩s capacitados. Por lo tanto, la implementaci贸n de Mobile Threat Defense debe aplicarse en todos los puntos finales para evitar que los usuarios interact煤en con sitios web, aplicaciones o redes maliciosas. Las empresas no ejecutar铆an una computadora de escritorio o port谩til sin la seguridad adecuada; por lo tanto, los dispositivos m贸viles deben recibir el mismo nivel de atenci贸n, especialmente cuando las personas contin煤an operando fuera del per铆metro de seguridad tradicional.

A medida que continuamos trabajando de forma remota, los dispositivos m贸viles tambi茅n se han convertido en las herramientas que utilizamos para mantenernos productivos y, debido a su aspecto personal, son un objetivo principal para las estafas m贸viles. Las amenazas de los c贸digos QR seguir谩n siendo un problema constante a medida que aumente la adopci贸n de dispositivos m贸viles y las personas converjan sus dispositivos laborales y personales.


Source link