Clicky

Por qué están disparándose las amenazas de los códigos QR

Códigos QR

Los códigos de respuesta rápida (QR) están de repente en todas partes

Los códigos QR facilitan el acceso a recursos basados ​​en la web sin tener que luchar con el pequeño teclado de tu teléfono inteligente. Pero, ¿sabes realmente lo que obtendrás cuando escanees uno?

El código QR

Los códigos de respuesta rápida (QR) están de repente en todas partes nuevamente. Inventado en 1994 por un galardonado equipo en Denso Wave, una subsidiaria de Toyota, el código QR se ha abierto camino en casi todas las industrias. Son como un código de barras con esteroides. Pueden parecer tableros de ajedrez borrachos, pero los cuadrados en blanco y negro, muy pigmentados, contienen mucha más información que las franjas de un código de barras. Y los códigos QR pueden activar una de una selección de acciones dentro del dispositivo de escaneo, generalmente un teléfono inteligente.

Los códigos QR se encuentran en los envases de productos, las paradas de autobús y las vallas publicitarias. Están en material promocional impreso como boletos, volantes y tapetes de bar. Puedes verlos en los vehículos de la empresa, las promociones en las tiendas y los stands emergentes en las exposiciones. ¿Quieres saber más sobre el producto, evento o lo que sea que se promocione? Escanea el código con tu teléfono inteligente.

Puedes encontrar códigos QR ocultos dentro de servidores y otro hardware. Si el técnico visitante necesita consultar el manual pero no tiene una copia a mano, puede escanear el código QR y acceder al manual en línea.

Si usas la aplicación móvil de LinkedIn, toca el grupo de cuadrados en la barra de búsqueda, luego toca "Mi código". Verás tu propio código QR personal. Lleva a las personas directamente a tu perfil de LinkedIn. Cada vez más, la gente los agrega a sus CV. Incluso puedes ver códigos QR en cementerios.

La pandemia de COVID-19 ha contribuido a impulsar el renacimiento del código QR. La gloria de los códigos QR es que no necesita tocar nada más que tu propio teléfono inteligente para usarlos. Es un sistema sin contacto rápido y sencillo, y todo el mundo ya lleva un escáner adecuado. Y eso lo convierte en el mecanismo perfecto para acceder o recopilar información en una pandemia.

Es por eso que la llegada de la COVID-19 ha hecho que el código QR tome una posición central en muchas empresas que tratan con el público de manera rutinaria. Los restaurantes, por ejemplo, están usando códigos QR para mostrar el menú en los teléfonos inteligentes de los comensales. No es necesario manipular un menú impreso que ha estado circulando en el restaurante desde quién sabe cuándo.

En el Reino Unido, la aplicación Track and Trace del Servicio Nacional de Salud se basa en códigos QR. Los lugares muestran un póster personalizado con un código QR específico de la ubicación. Los visitantes escanean el código y la aplicación registra dónde y cuándo estuvo. Si alguien informa síntomas de COVID-19, los servidores del NHS pueden procesar los datos y averiguar quién más ha estado en contacto con esa persona.

El problema con los códigos QR

El uso más común de un código QR orientado al consumidor es abrir una página web en tu teléfono inteligente. Pero pueden hacer mucho más que eso. Los códigos QR pueden invocar diferentes acciones en un teléfono inteligente de acuerdo con la información contenida en el código QR.

Antes de hacer clic en un enlace web, probablemente lo verifiques visualmente en busca de inconsistencias. Tiene sentido verificar que la página web que te llevará tenga un nombre razonable y plausible. ¿Realmente te llevará al sitio que dice que lo hará, o a un sitio imitador que robará tus credenciales de inicio de sesión? Con un código QR, no se puede decir. A simple vista, son completamente impenetrables: los humanos no pueden leer su contenido. Escanear un código QR es un acto de fe.

Nuestros teléfonos inteligentes son un avatar de nuestra identidad en el mundo real. Contienen todo tipo de datos personales que son invaluables para los actores de amenazas, así como acceso a aplicaciones como banca en línea, PayPal y billeteras de criptomonedas. Un teléfono inteligente comprometido es tan malo como una computadora comprometida.

Los teléfonos inteligentes difuminan las líneas entre la vida digital privada de las personas y su vida digital corporativa o laboral. Algunas personas que reciben un teléfono inteligente de la empresa también tienen un teléfono inteligente privado. Para la mayoría, es más fácil y económico tener un solo teléfono inteligente, el teléfono inteligente de su empresa, y usarlo para uso comercial y personal.

código QR en un CurriculumLas personas tienden a ser menos conscientes de la seguridad en su uso personal de la web que en el uso corporativo. Pero si su teléfono inteligente se ve comprometido, ponen en peligro la red corporativa porque el malware puede recopilar los detalles de la conexión a las VPN y otras cuentas. Los correos electrónicos comerciales también se pueden desviar del dispositivo.

Por supuesto, los trabajadores sin un teléfono inteligente empresarial tendrán un teléfono inteligente privado y es probable que lo conecten al Wi-Fi corporativo. Es menos probable que los teléfonos inteligentes privados estén protegidos por una VPN o conjuntos de protección de terminales.

Ya sea un teléfono inteligente de la empresa o un dispositivo personal, un teléfono inteligente comprometido es un riesgo si se conecta a la red corporativa.

Y los teléfonos inteligentes pueden verse comprometidos en el lugar de trabajo. Se está volviendo más común incluir un código QR en un CV o currículum. Podría ser llevado al blog personal del solicitante, a su perfil de LinkedIn, o podría ser malicioso. Enviar un CV falso con un código QR es una forma discreta de comprometer un teléfono inteligente, con un ataque en papel.

¿Qué puede hacer un código QR?

Los códigos QR pueden desencadenar una serie de acciones diferentes dentro de un teléfono inteligente.

Lanzamiento de un sitio web. Si es malicioso, podría ser un sitio de recolección de credenciales de imitación o podría infectar tu teléfono inteligente con un caballo de Troya. Luego, el malware se conectará a los servidores de los actores de la amenaza. Los datos se pueden transferir desde tu teléfono inteligente a los servidores, o se puede descargar otro malware a tu teléfono inteligente.

Agrega una entrada maliciosa a tus contactos. Una entrada de contacto especialmente diseñada que contenga información maliciosa puede desencadenar vulnerabilidades en tu teléfono inteligente.

Agregar y conéctarlo a una red Wi-Fi, que puede ser una red maliciosa o comprometida.

Realizar un pago. A menudo, con el pretexto de que es un medio para donar a una organización benéfica, los códigos QR maliciosos pueden aceptar pagos y permitir que los actores de la amenaza capturen tus datos personales y de tu cuenta.

Hacer una llamada de voz. Si esa llamada es para los actores de la amenaza, ahora tienen tu número e información de identificación de llamadas. Es posible que intenten extraerte otra información socialmente.

Crear un mensaje de texto SMS. El código QR puede crear un mensaje de texto dirigido a los actores de la amenaza (o cualquier persona que elijan). Esto te deja expuesto a ataques de phishing basados ​​en texto, conocidos como ataques smishing.

Redactar un correo electrónico con destinatarios y asuntos precargados, dejándolo abierto a ataques de phishing por correo electrónico.

Registrarte para seguir cuentas de redes sociales. Las publicaciones en la cuenta de las redes sociales contendrán enlaces que las víctimas tocarán y descargarán malware en tu teléfono.

Los códigos QR también pueden crear entradas en su calendario u obtener su ubicación del GPS de su teléfono inteligente, pero es menos probable que esto resulte en un compromiso.

Piensa primero, escanea después

Con los códigos QR, el contexto es primordial. ¿Dónde está el código? ¿Quién es el propietario o proveedor del código? Si está en un volante hecho en casa engrapado a un poste de telégrafo, no se puede dar fe de su veracidad. No tiene procedencia para ese código. Si el QR está en un póster impreso profesionalmente en el área de recepción de la consulta de un médico o en un hospital, se puede tener mayor confianza en que el código es genuino.

Pero aún así, verifica que no se haya impreso otro código QR en una etiqueta de papel y que no se haya pegado sobre el código original. No puedes saber con solo mirarlo si el código QR es benigno o malicioso, pero puedes buscar signos de manipulación o modificación. Si parece que se ha entrometido, no lo escanees.

Revisa la configuración en tu aplicación de escaneo de códigos QR y configúrala para que muestre direcciones web antes de iniciar el sitio web o, de hecho, realizar cualquier otra acción. Es una lástima que necesites introducir una revisión humana en el uso de códigos QR, que están diseñados para un flujo de trabajo sin dolor de "escaneo y listo", pero combatir el ciberdelito requiere una diligencia constante.

Jesus_Caceres