El QRishing y los riesgos de ciberseguridad en los códigos QR

En esta era tecnologizada en la que tantas herramientas digitales están a nuestro alcance, ¿quién no ha escaneado un código QR con su móvil? Los códigos de respuesta rápida (QR) son un recurso que está siendo aplicado por muchas empresas en áreas clave como ventas, pagos, etiquetado de productos, emisión de boletos, marketing y servicio al cliente. Por esta razón, su frecuencia y popularidad sigue creciendo. En paralelo, actores maliciosos sacan provecho de los riesgos de la ciberseguridad en los códigos QR para fraguar ataques de phishing y difundir malware. Una de las expresiones más comunes de estos delitos en la red es el QRishing, cuyas características explicaremos más adelante. 

Las empresas deben prestar particular atención a estas vulnerabilidades, porque pueden generar importantes riesgos financieros y de reputación. El 82% de los europeos sabe escanear un código QR y cuatro de cada diez lo hacen, al menos, una vez por semana. Esto aumenta las posibilidades de ocurrencias de incidentes de este tipo entre clientes de una organización.

Aspectos básicos para entender los riesgos de ciberseguridad en los códigos QR

En esencia, un código de respuesta rápida (QR) es semejante a un código de barras: se trata de una matriz bidimensional que consiste en una serie de píxeles que forman un gran cuadrado contentivo de una cadena de datos. Esta información puede ser escaneada y descifrada por lectores de códigos y móviles inteligentes. En muchos casos, albergan una URL para que los usuarios accedan a sitios web sin necesidad de escribir la dirección web en un buscador. 

Los códigos QR comenzaron siendo una herramienta para monitorizar piezas automotrices y, como dijimos, evolucionaron hasta ser hoy un recurso versátil empleado en diversos sectores. Además de URLs, estos códigos pueden almacenar una variedad de datos, incluyendo texto, información de contacto y otras expresiones de datos alfanuméricos. La posibilidad de conexión a Internet en cualquier parte que tienen los teléfonos móviles equipados con lectores de códigos QR permite a los usuarios escanear y tener acceso inmediato a la información codificada dentro de la matriz. De allí, que podamos considerar el recurso que nos ocupa como un enlace efectivo entre los ámbitos físico y digital.

Situaciones que generan riesgos de ciberseguridad en los códigos QR

Pese a los innegables beneficios que aportan, los códigos QR son susceptibles de convertirse en vectores de ataques de phishing y de transmisión de malware. En efecto, los ciberdelincuentes son capaces de diseñar códigos QR con apariencia legítima. Apoyándose en estos, redirigen a los usuarios a sitios web maliciosos, para obtener información confidencial de manera fraudulenta o para infectar con malware los dispositivos de las víctimas. La mezcla aleatoria de píxeles dentro de un cuadrado más grande que caracteriza a los códigos QR hace difícil diferenciar los legítimos y seguros de los maliciosos. Precisamente, el uso generalizado de este recurso en las transacciones de pago y para el acceso a URLs incrementa la probabilidad de escanear códigos fraudulentos. 

En concreto, podemos identificar las situaciones más comunes en las que los piratas informáticos explotan los riesgos de ciberseguridad en los códigos QR:

  • Reemplazo o manipulación. Los ciberdelincuentes colocan un código QR falso sobre uno legítimo o alteran este último.
  • Disposición de códigos QR en áreas muy transitadas o en sitios estratégicos. Los ciberpiratas pueden colocar códigos en lugares donde puedan aparentar la relación con una ubicación u objeto. Entonces, los transeúntes desprevenidos creerán que los códigos cumplen una función segura y escanean el código malicioso. Una situación común es la disposición de QRs en los parquímetros para confundir a los usuarios al momento de pagar por el estacionamiento.
  • Envío de códigos QR falsos mediante email o aplicaciones. En este caso, los ciberdelincuentes incluyen un código QR en una comunicación digital de apariencia formal capaz de convencer al destinatario de su legitimidad.

Riesgos más comunes de ciberseguridad de los códigos QR 

Inmediatamente, al escanear un código fraudulento, el usuario queda expuesto a diversas formas de fraude y ataque cibernético, entre ellos:

QRishing

Pues bien, llegó el momento de hablar sobre el primero de los riesgos de ciberseguridad en los códigos QR y que mencionamos en nuestro título. Probablemente, ya intuyas, por el sufijo, que el QRishing es una variante de phishing mediante la que un actor malicioso pretende robar las contraseñas, credenciales u otros datos personales de un usuario. A los efectos, el ciberpirata puede emplear técnicas de ingeniería social para confundir al usuario y convencerle de la legitimidad y seguridad del sitio web al que le dirige el código QR. El usuario, desprevenido, ingresa la información confidencial que le solicitan y cae en la trampa. Líneas arriba, adelantamos sobre la imposibilidad de identificar al momento el verdadero contenido del código QR, lo que hace a personas y empresas vulnerables a estos peligros.

QRLJacking o Quick Response Code Login Jacking 

¡Ojo con este vector de ataque de ingeniería social! Es una modalidad de fraude cibernético que consiste en secuestrar sesiones en aquellas aplicaciones que requieren de la función «Iniciar sesión con código QR». Plataformas como WhatsApp Web y hasta algunos bancos aplican esta medida como un modo seguro de iniciar sesión en cuentas. En cuanto el usuario desprevenido escanea el código QR del atacante, este secuestra la sesión. A partir de ahí,el delincuente cibernético podrá:

  • Acceder a datos personales y confidenciales de la víctima, como: datos de identificación personal, números de tarjetas de crédito y contraseñas.
  • Suplantar la identidad del usuario afectado, para ejecutar actividades fraudulentas en su nombre.
  • Robar las cuentas atacadas, efectuando transacciones no autorizadas.

Lo grave es que la sesión no se cierra ni notifica nada.

Hackeo de dispositivos 

Este es otro de los riesgos de ciberseguridad en los códigos QR más temibles. En resumen, cuando el usuario escanea  el  código QR fraudulento, el actor malicioso accede al dispositivo de este. Entonces, el pirata cibernético puede hacer llamadas, enviar mensajes de texto o efectuar pagos desde el dispositivo hackeado.

Medidas para prevenir los riesgos de ciberseguridad en los códigos QR

Cruzarse de brazos y esperar a caer en las trampas de los códigos QR fraudulentos no es una actitud aconsejable. En este sentido, como líder de tu pequeña o mediana empresa, debes minimizar las posibilidades de ocurrencia de los ataques descritos a cuentas y dispositivos. Al respecto, desde Akela te sugerimos poner en práctica las siguientes estrategias:

  • Proporciona formación permanente a tus empleados sobre las modalidades de amenaza cibernética actuales y los que vayan surgiendo, incluyendo las relacionadas con los códigos QR. 
  • Revisa exhaustivamente los códigos QR. Más aún, asegúrate de que no hayan sido modificados ni alterados antes de proceder a escanearlos.
  • Verifica con cuidado las direcciones web de los sitios a los que te dirigen los QR.  Si estos códigos te dirigen a páginas de bancos, instituciones y empresas específicas, compara los elementos de diseño, botones, tipografía, calls to action y otros con los de las páginas oficiales de dichas organizaciones. Esta medida es clave para evitar los riesgos de ciberseguridad en los códigos QR
  • Instala soluciones informáticas de seguridad provistas de filtrado de contenido para examinar links y archivos adjuntos. Asimismo, asegúrate de que bloqueen el acceso a elementos sospechosos. Esto es básico para garantizar la ciberseguridad en el trabajo.
  • Implementa controles de acceso estrictos que eviten eventuales incursiones y daños de ciberdelincuentes, aun cuando estos llegaren a obtener credenciales de inicio de sesión.
  • Emplea sistemas de autenticación multifactor. Ciertamente, esta medida agrega una capa de protección a los sistemas comerciales; más aún, cuando se hayan visto comprometidas las contraseñas o credenciales de los empleados.
  • Sugiere a tus empleados no escanear códigos QR cuando desconfíen de su legitimidad. 
  • Desde luego, es indispensable mantener todos los dispositivos de tu empresa actualizados y parcheados, y desactivar el escaneo automático de códigos QR en estos.

Protege a tus clientes 

Si tu empresa necesita utilizar códigos QR, también puedes tomar medidas para proteger a tus clientes:

  • Selecciona una plataforma generadora de códigos QR fiable.
  • Personaliza el código QR incluyendo tu marca en el mismo.
  • Evalúa el código QR antes de publicarlo.
  • Verifica que el sitio web al que vinculas el QR esté sólidamente encriptado y cuente con indicaciones visibles de protección SSL.

¿Tienes dudas sobre el cumplimiento de normativas relacionadas con la tecnología?

En Akela conformamos un equipo de especialistas en asesoramiento y gestión de negocios empeñados en apoyar el éxito y fortalecimiento de startups y PYMEs. En función de ello, proporcionamos servicios personalizados de alta calidad, que van desde la gestión contable y fiscal hasta el asesoramiento legal y laboral. Por eso, si tienes dudas en temas como los riesgos de ciberseguridad en los códigos QR o el cumplimiento del Reglamento General de Protección de Datos (RGPD), no dudes en consultarnos.

Sobre Akela

Bienvenido a una nueva newsletter, 

En AKELA, nos esforzamos por mantenernos actualizados con la normativa vigente y brindar asesoramiento experto en cumplimiento normativo y gestión de riesgos.

Entradas recientes

Suscríbete a nuestra newsletter