Seguridad

Los peligros de los códigos QR: suplantación de identidad, “malware” y secuestro de sesión

El “qrishing”, la descarga de “software” malicioso y el “qrljacking” son los principales tipos de ataques que los ciberdelincuentes realizan a través de este formato

Los códigos QR han pasado a formar parte de la vida cotidiana de la mayoría con la pandemia.
Los códigos QR han pasado a formar parte de la vida cotidiana de la mayoría con la pandemia.La RazónCortesía de Mitya Ivanov / Unsplash.

Los códigos QR (Quick Response o respuesta rápida), creados en 1994 por la empresa japonesa Denso Wave, son módulos para almacenar información en una matriz de puntos que tiene una capacidad de 4.286 caracteres alfanuméricos. Hasta hace un par de años no estaban muy presentes en la vida de la mayoría, pero llegó la pandemia y con ella cobraron una nueva utilidad como método para evitar el contacto físico en una serie de situaciones cotidianas como son consultar la carta de un restaurante o mostrar el pasaporte Covid. En el último año, un 86% de los usuarios han escaneado un código QR con su móvil según un estudio de la firma MobileIron.

Esa repentina popularidad los convierte en una vía atractiva para que los cibercriminales puedan llegar a sus víctimas y el hecho de que, según el mismo informe, un 34% de los usuarios no se preocupe por la seguridad a la hora de utilizarlos no puede ser mejor noticia para ellos. Desde que comenzó la pandemia, instituciones y cuerpos de seguridad han alertado en varias ocasiones del crecimiento de las estafas que emplean códigos QR y los riesgos que entrañan. Según el Instituto Nacional de Ciberseguridad, las principales tácticas que emplean códigos QR son tres: “qrishing” (“phishing” a través de códigos QR), la descarga de “malware” y el “qrljacking” o secuestro de las credenciales de usuario.

¿Qué es el qrishing?

Es una variación del mucho más conocido “phishing” o suplantación de identidad. Es decir, cuando la víctima accede a una página web fraudulenta (imitando la de una entidad bancaria, por ejemplo) cuyo objetivo es que introduzca sus credenciales de usuario u otra información sensible que queda en manos del ciberdelincuente. A las habituales campañas de “phishing” por correo electrónico o SMS hay que añadir las de “qrishing” que se producen cuando el acceso a la web fraudulenta se realiza escaneando la URL contenida en un código QR.

Una ventaja que para el atacante tiene esta forma de suplantación de identidad es que resulta mucho más novedosa, por lo que la víctima suele mostrarse más desprevenida ante un código QR de origen incierto que ante un correo o SMS cuyo remitente puede comprobar sin ni siquiera abrirlo. Un factor de riesgo añadido es que, según la aplicación QR que se emplee y su configuración, ésta puede abrir directamente el enlace sin que el usuario tenga ocasión de verlo primero y comprobar si coincide con el dominio legítimo de la web en cuestión.

Si tienes un negocio que utiliza códigos QR, el INCIBE recomienda comprobar regularmente que no son manipulados por terceros.
Si tienes un negocio que utiliza códigos QR, el INCIBE recomienda comprobar regularmente que no son manipulados por terceros.La RazónCortesía the blowup / Unsplash.

Códigos QR y “malware”

De la misma forma que un código QR puede redirigir al usuario a una web fraudulenta también puede hacerlo a una web maliciosa que aproveche un “exploit” para inyectar código malicioso en el dispositivo o fuerce la descarga de “malware” al visitar la web. Este tipo de webs están diseñadas para explotar vulnerabilidades a nivel de “software” en el sistema operativo o el navegador empleado y exponen a la víctima a una amplia variedad de acciones maliciosas. Desde la visualización de publicidad no deseada a la suscripción a servicios premium pasando por el acceso al dispositivo y su información, el envío de correos electrónicos o integrarlo en una “botnet” (por ejemplo, para realizar un ataque DDOS, denegación de servicio, a una web) sin que el usuario lo sepa.

¿Qué es el “qrljacking”?

Este anglicismo es como se conoce al secuestro de inicio de sesión en servicios que emplean un código QR como es el caso de la versión web de WhatsApp. Este tipo de ataque se produce cuando se engaña a la víctima para que escanee un código QR modificado que suplanta al original, de forma que el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta.

Para protegerse de este tipo de fraudes y ataques mediante códigos QR, el INCIBE realiza las siguientes recomendaciones:

· Si tienes un negocio que emplea códigos QR, comprobar de forma regular que no han sido cambiados ni modificados por terceras personas.

· Usar un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc.

· Comprobar que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos “apps” de lectura que permitan consultar la URL antes de abrirla.

· Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta manera se podrá comprobar la dirección a la que enlaza el código.

· Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio.

· En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgues el código QR por redes sociales ya que podrías ser víctima de un fraude.