Leyendo ahora
Los riesgos para la ciberseguridad de los códigos QR

Del mismo modo que con las apps de mensajería han resucitado los gifs animados surgidos en los inicios de Internet y que ya parecían algo del pasado, con la pandemia y la obligada distancia social (y sin contacto) han resucitado los códigos QR.

En los dos últimos años los hemos visto como recurso utilizado en todo tipo de pancartas y materiales de marketing, para conectarse fácilmente a una red wifi y también de manera muy habitual para mostrar las cartas y menús de bares y restaurantes.

Pero esta herramienta muy útil, que facilita el acceso a recursos web desde nuestros dispositivos móviles sin necesidad de introducir complicadas URL, es también un objetivo fácil para los ciberdelincuentes.

Del mundo digital al mundo físico

Con un nombre que proviene de las siglas en inglés de “Quick Response”, los QR son códigos bidimensionales de respuesta rápida que pueden almacenar 7.089 dígitos o 4.296 caracteres.

Son similares a códigos de barras y no son legibles por los humanos, con lo que es imprescindible escanearlos para saber lo que contienen. Normalmente, los datos codificados conducen a un enlace web.

El QR fue inventado en 1994 por el japonés Masahiro Hara y su equipo de ingenieros de Denso Wave, una compañía subsidiaria de Toyota, con el objetivo de transmitir información de las piezas que enviaban al gigante de la automoción de un modo más fácil y codificado. La inspiración de esta imagen codificada de respuesta rápida venía del juego de mesa Go, versión asiática del ajedrez a la que jugaban Hara y sus compañeros en sus descansos laborales.

En su sencillez está el riesgo

El peligro de los códigos QR se debe, en primer lugar, a su sencillez. Al ser por concepto algo tan básico, asumimos que no tienen riesgos, parecen patrones inofensivos. El problema es que, al contener un código oculto, es muy fácil que puedan dirigirnos a sitios web maliciosos. 

Según un estudio de Mobileriron (basado en una encuesta a 2.100 personas), el 71% de las personas no puede discernir entre un código QR legítimo y un código QR malicioso, y como consecuencia, casi el 17% ha usado un código QR con malware sin apenas ser consciente de ello.

Si añadimos el hecho que para escanearlos utilizamos los smartphones (dispositivos que a diferencia de los ordenadores no vinculamos lo suficiente a ciberamenazas), y que en algunos países (especialmente asiáticos) se ha estandarizado su uso para pagos móviles alternativos al NFC, es evidente que su potencial para los cibercriminales es muy grande.

Amenazas en formato QR

Son diversos los riesgos y amenazas de ciberseguridad vinculados a los códigos QR:

Código QR malicioso

Uno de los métodos más utilizados por los cibercriminales es la impresión en papel adhesivo de códigos QR maliciosos, que sustituyen el código original.

Esto ha ocurrido ya en un sistema de bicicletas compartidas en China: cambiaron el código que permitía pagar antes de desbloquearlas, provocando el pago a cuentas fraudulentas sin poder acceder al servicio. También se ha detectado en parquímetros de los Estados Unidos.

Phishing

El código QR conduce a sitio de phishing para robar credenciales.

Utilizan URL similar al sitio web de confianza (con ligeros cambios como la extensión del dominio o una letra diferente en la URL), con lo que son muy difíciles de detectar.

Una vez dentro del sitio fraudulento, el funcionamiento es el habitual: se solicitan las credenciales de acceso, causando daños graves de privacidad y seguridad.

Malware o exploit

Aquí el phishing requiere más de un paso para el usuario, que en algún momento puedo detectar algo inusual que levante sospechas.

Pero cuando un código QR va asociado a malware que se instala en el teléfono, todo es mucho más directo y peligroso: el ataque se desencadena en el mismo momento de entrar al sitio web. El malware puede permitir el robo de información confidencial, pero también tomar el control de cámaras y sensores de nuestro dispositivo.

Llamada fraudulenta

Ver también

En este caso, el código QR desencadena una llamada automática a un número predefinido, entregando información sobre nuestra identidad y teléfono a desconocidos.

Correo electrónico

Aunque no lo parece, esta modalidad de phishing es bastante sofisticada. Tras escanear el código QR se almacena en nuestro dispositivo un mensaje de correo electrónico completo con el asunto y el destinatario que únicamente requiere de la acción de enviar para activar el ataque de phishing.

Red wifi y/o ubicación

Otra de las posibilidades es que el código QR esconda la posibilidad de copiar remotamente las credenciales de acceso a la red inalámbrica, convirtiendo nuestra red en una red abierta a cualquier tipo de ciberataque.

Tienda de apps

Finalmente, el escaneo de un código QR puede dirigirnos a una tienda de aplicaciones falsas en la que se sugiera la instalación de programas maliciosos. Esto es especialmente peligroso en el caso de dispositivos Android, ya que el propio sistema permite la instalación de aplicaciones no oficiales.

Consejos de protección y seguridad

Una vez tenemos claro el peligro potencial de los códigos QR, es importante tener en cuenta las siguientes medidas de seguridad:

  • Prestar atención a la existencia de un adhesivo colocado encima de un código QR legítimo. Puede ser consecuencia de la corrección de un error, pero es muy posible que sea un código malicioso.
  • Si el código QR no va acompañado de información clara y coherente de dónde nos va a dirigir, lo normal es sospechar. ¿Qué razón tendría alguien para crear un código sin informar del objetivo?
  • Si decidimos escanear un código QR de procedencia dudosa o desconocida, es recomendable estar atentos ante la apertura del enlace en el navegador: si vemos algo sospechoso podemos tener tiempo de abortar rápidamente la operación.
  • Aunque los códigos QR habitualmente utilizan URL acortadas, en el caso de que sea una dirección visible, es posible acceder desde un ordenador y con una pestaña privada del navegador, e incluso buscar información sobre esa dirección en cualquier buscador. Si nos fijamos en dicha URL y vemos alguna falta de ortografía o la falta de algún carácter, también suele ser una señal clara de phishing.
  • Los expertos también recomiendan utilizar la aplicación predeterminada del dispositivo móvil para escanear los códigos QR, sobre todo si la aplicación instalada es gratuita y de un desarrollador desconocido.

La concienciación y la educación digital como mejor herramienta de protección

Tanto a nivel individual, familiar o corporativo, y como en muchos otros casos vinculados a la ciberseguridad, una vez más resulta evidente que una de las herramientas más eficaces para protegerse de códigos QR maliciosos es la formación y divulgación.

Y es que la inconsciencia de los potenciales peligros es la vulnerabilidad más habitual, aunque también la más fácil de solucionar.

Un proyecto de:

© 2022 CECA.
Todos los derechos reservados.

Ir arriba