Códigos QR: Una furtiva amenaza a la seguridad

23 octubre, 2020
6 Compartido 1,332 Visualizaciones

Columna de Brian Foster, vicepresidente de Gestión de Productos de MobileIron

Si parece que los códigos QR han aparecido por todas partes estos días, tienes razón. Desde que la industria automotriz japonesa los utilizó por primera vez para agilizar los procesos de fabricación, las empresas de todo el mundo han aprovechado los beneficios de los códigos QR. Son baratos de desplegar y se pueden aplicar a casi cualquier cosa, por lo que todas las industrias, desde la venta al por menor hasta la sanidad, los utilizan ahora como una forma rápida y fácil de vincular a la gente a sitios web, campañas promocionales, descuentos en tiendas, historiales médicos de pacientes, pagos por móvil y mucho más.

Los códigos QR no sólo son económicos y fáciles de usar. También son esenciales, especialmente durante una pandemia donde las transacciones sin contacto se han convertido en la norma. Es más, al menos el 81 por ciento de los estadounidenses disponen en la actualidad de un teléfono inteligente, y casi todos esos dispositivos pueden leer de forma nativa los códigos QR sin necesidad de una aplicación de terceros. Por lo tanto, los códigos QR están claramente teniendo su momento.

Lo que los números dicen (pista: nada bueno)

Mi compañía, MobileIron, quería entender mejor las tendencias actuales de los códigos QR, así que en septiembre realizamos una encuesta a más de 2.100 consumidores en todo el Reino Unido y los Estados Unidos. Por ejemplo, en los últimos seis meses, más de un tercio de los usuarios de móviles escaneó un código QR en un restaurante, bar, tienda o en un producto de consumo.

Los resultados también pusieron de relieve algunas tendencias alarmantes: Los usuarios de móviles no entienden realmente los riesgos potenciales de los códigos QR, y casi tres cuartos (71 por ciento) de los encuestados no pueden diferenciar entre un código QR legítimo y uno malicioso. Al mismo tiempo, más de la mitad (51 por ciento) de los usuarios encuestados no tienen (o no saben si tienen) seguridad móvil en sus dispositivos.

Como tantas cosas que parecen formar parte de nuestras vidas desde siempre, no pensamos mucho en los códigos QR. Los dispositivos móviles nos han condicionado a realizar acciones rápidas -pase, toque, haga clic, pague- mientras nos distraemos con otras cosas como el trabajo, las compras, la comida (y, lamentablemente, sí, la conducción).

Este es exactamente el tipo de confianza implícita y acción irreflexiva en la que prosperan los hackers. Y es por eso que, si los empleados móviles están usando sus dispositivos personales para acceder a aplicaciones empresariales y escanear códigos QR potencialmente peligrosos, el departamento de TI de la empresa debería empezar a examinar más de cerca su modelo de seguridad móvil.

¿Y cuáles son exactamente los riesgos de los códigos QR?

Hackear un código QR real requeriría algunas habilidades serias para hacer cambios alrededor de los puntos pixelados en la matriz del código. Los hackers han descubierto un método mucho más fácil en su lugar. Esto implica incrustar software malicioso en los códigos QR (que pueden ser generados por herramientas gratuitas ampliamente disponibles en Internet). Para un usuario medio, todos estos códigos parecen iguales, pero un código QR malicioso puede dirigir a un usuario a un sitio web falso. También puede capturar datos personales o instalar software malicioso en un teléfono inteligente que inicie acciones como ésta:

Añade una lista de contactos: Los hackers pueden añadir una nueva lista de contactos en el teléfono del usuario y utilizarla para lanzar un spear phishing u otro ataque personalizado.

Iniciar una llamada telefónica: Al activar una llamada al estafador, este tipo de explotación puede exponer el número de teléfono a un mal actor.

Enviar un mensaje de texto: Además de enviar un mensaje de texto a un destinatario malintencionado, los contactos de un usuario también podrían recibir el texto malintencionado de un estafador.

– Escribir un correo electrónico: De manera similar a un texto malicioso, un hacker puede redactar un correo electrónico y poblar las líneas del destinatario y del asunto. Los hackers podrían dirigirse al correo electrónico de trabajo del usuario si el dispositivo carece de protección contra amenazas móviles.

Realizar un pago: Si el código QR es malicioso, podría permitir a los hackers enviar automáticamente un pago y capturar los datos financieros personales del usuario.

– Revelar la ubicación del usuario: El software malicioso puede rastrear silenciosamente la geolocalización del usuario y enviar estos datos a una aplicación o sitio web.

Seguir las cuentas de los medios sociales: Las cuentas de los medios sociales del usuario pueden ser dirigidas a seguir una cuenta maliciosa, que puede entonces exponer la información personal y los contactos del usuario.

Añadir una red Wi-Fi preferida: Una red comprometida puede añadirse a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red.

Cosas fáciles que todos podemos hacer para minimizar los riesgos

Por muy aterradoras que sean estas hazañas, no son inevitables. Educar a los usuarios sobre los riesgos de los códigos QR es un buen primer paso, pero las empresas también deben intensificar su juego de seguridad móvil para protegerse contra amenazas como el spear phishing y la adquisición de dispositivos.

Qué pueden hacer los usuarios

Primero, echa un buen vistazo: Asegúrate de que el código QR es legítimo, especialmente los códigos impresos, que pueden ser pegados con un código diferente (y potencialmente malicioso).

Escanea sólo los códigos de entidades de confianza: Los usuarios de móviles deben atenerse a los códigos QR que provienen de remitentes de confianza. Presta atención a las banderas rojas como una dirección web que difiere de la URL de la empresa: hay una buena posibilidad de que se enlace a un sitio malicioso.

 Tenga cuidado con los enlaces bit.ly: Compruebe la URL de un enlace bit.ly que aparece después de escanear un código QR. Estos enlaces suelen utilizarse para disfrazar URL maliciosas, pero se pueden previsualizar de forma segura añadiendo un símbolo de más («+») al final de la URL.

Lo que pueden hacer las empresas

Es de esperar que su empresa utilice una solución de defensa contra amenazas móviles en el dispositivo que pueda proteger contra los ataques de phishing, la adquisición de dispositivos, ataques de intermediarios y las descargas de aplicaciones maliciosas(si no, ¡comience a buscar una ahora!). Necesita asegurarse de que está implementada en cada dispositivo que acceda a las aplicaciones y datos de la empresa, porque la seguridad de la empresa sólo es tan buena como su eslabón más débil. 

Si no se hace nada más, ahora es el momento de considerar la eliminación del acceso a las aplicaciones de negocio y de la nube basado en contraseñas, que hoy en día, es una de las principales causas de la violación de datos. Al pasar a la autenticación multifactorial sin contraseñas, no sólo se elimina la amenaza de las contraseñas robadas sino también el engorro de mantenerlas, lo que hace que todo el mundo (excepto los hackers) esté mucho más tranquilo y sea más productivo.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Google Cloud y Telefónica se unen para acelerar la transformación digital de las empresas españolas
Actualidad
8 compartido1,224 visualizaciones
Actualidad
8 compartido1,224 visualizaciones

Google Cloud y Telefónica se unen para acelerar la transformación digital de las empresas españolas

Aina Pou Rodríguez - 12 junio, 2020

Esta alianza amplía la colaboración entre las dos compañías y refuerza la estrategia multi-cloud de Telefónica Tech para el mercado…

Tech Data y su nueva iniciativa contra el Ransomware en Europa
Actualidad
27 compartido1,393 visualizaciones
Actualidad
27 compartido1,393 visualizaciones

Tech Data y su nueva iniciativa contra el Ransomware en Europa

Vicente Ramírez - 20 marzo, 2018

Tech Data ha anunciado el lanzamiento en Europa de Ransomware Practice Builder, una nueva iniciativa que forma parte de su compromiso permanente…

Cyberpedia: Concienciación en Seguridad Digital
Actualidad
23 compartido3,191 visualizaciones
Actualidad
23 compartido3,191 visualizaciones

Cyberpedia: Concienciación en Seguridad Digital

José Luis - 25 septiembre, 2018

El CEO de TechClass.Academy Antonio Herrera nos aporta un nuevo término para nuestra Cyberpedia, Concienciación en Seguridad Digital. Es el…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.