Los peligros de los códigos QR

¿Son un riesgo para la seguridad?.

 

¿Qué son los códigos QR?

Combinación de barras y cuadros que acompaña a un producto o unidad de consumo para que pueda ser leído y descifrado mediante un lector óptico que transmite los datos a una máquina o una computadora.


Los códigos QR son códigos de respuesta rápida (quick response en inglés), capaces de almacenar una gran cantidad de información. Están compuestos por módulos en dos dimensiones formados por puntos diferenciados entre sí por colores en un alto contraste.


Se pueden escanear con un smartphone para acceder a la información que contienen. Actualmente, la mayoría, por no decir todos los smartphones cuentan con una aplicación de escáner QR integrada, por lo que ya ni siquiera es necesario descargar una, incluso alguno de ellos los detecta directamente al enfocarlos con la cámara.


Los códigos QR se generan a través de un software de creación de este tipo de códigos y están estandarizados por la Norma ISO/IEC 18004:2015.


¿Para qué se usan los códigos QR?


Los códigos QR sirven para diferentes funciones, aunque la principal y más conocida por los usuarios es la de poder acceder a contenidos en Internet a través de ellos, pero otros usos son:


•    Información de acceso a una red WiFi (nombre de la red, contraseña y tipo de cifrado de información empleado).
•    Acceso a descarga de aplicaciones en tiendas oficiales o páginas oficiales.
•    Acceso a contenido protegido en documentos oficiales.
•    Como medio para generar contraseñas de un solo uso o códigos cifrados para acceder a determinados servicios (por ejemplo, el código QR que se usa para poder acceder a WhatsApp Web).
•    Como entradas o billetes para acceder a medios de transporte, zonas vips o zonas de ocio.
•    Para hacer el seguimiento de productos en el sector del transporte y la logística.
•    En algunos países se han empezado a usar como método de pago con el móvil.


Principales peligros de los códigos QR


Aunque son bastante seguros, lo cierto es que también pueden usarse como un medio para distribuir diferentes tipos de malware en móviles o aprovechar exploits del sistema operativo o alguna aplicación.


En general, los ciberdelincuentes aprovechan muchas veces la confianza de los usuarios en los códigos QR, ya que cada vez están más acostumbrados a escanearlos, para llevar a cabo sus ataques, puesto que muy pocos usuarios son capaces de diferenciar entre un código QR lícito y otro malicioso.


Así, los principales peligros de los códigos QR son los siguientes:


QR maliciosos


A través de la creación de un código QR malicioso, se puede dirigir a los usuarios a una web fraudulenta para llevar a cabo la siguiente fase del ataque.
Ataques como, por ejemplo, añadir una lista de contactos en el teléfono para llevar a cabo un ataque de spear phishing, enviar mensajes o correos electrónicos desde el móvil, etc.


Qrishing


El Qrishing es un ataque tipo phishing que conjuga la ingeniería social con el escaneo de un código QR para llevar a los usuarios a una web falsa, que suplanta una web oficial, donde se le pedirá al usuario que facilite alguna de sus credenciales, para así poder robarlas.
Si la copia de la web suplantada está bien hecha, salvo que el usuario se detenga a mirar la URL, es muy posible que acabe cayendo en la trampa.


Descarga de malware


Los códigos QR también se pueden usar para conducir a los usuarios a una web de descarga de malware o de inyección de código malicioso. Para esta técnica se suelen aprovechar vulnerabilidades o llevar a cabo un ataque drive by download; una descarga forzada de malware al visitar un sitio web.
Una vez descargado el malware en el dispositivo, este puede aprovechar vulnerabilidades para llevar a cabo otras acciones como, por ejemplo, sustraer información confidencial, activar y usar las cámaras o micrófono del dispositivo, unirlo a una botnet, suscribir al usuario a un servicio premium, etc.


Qrljacking


El Qrjacking es el secuestro de sesión, es decir, se usa el código QR para, junto a técnicas de ingeniería social, secuestrar la cuenta de un servicio que utilice la función de iniciar sesión con código QR.
Para que este ataque tenga éxito, es necesario engañar al usuario para que escanee un código QR malicioso que suplanta al original. Cuando el usuario lo escanea, el cibercriminal se hace con las credenciales de inicio de sesión de este, con lo que gana acceso a dicha cuenta, pudiendo hacerse con el control de la misma.


Rastreo


Los códigos QR maliciosos también pueden usarse para rastrear las acciones del usuario cuando navega por Internet e, incluso, revelar su localización física.


Añadir una red WiFi comprometida


Un código QR comprometido puede añadir una red WiFi maliciosa como una de confianza a la lista de redes inalámbricas del móvil, haciendo que el usuario se conecte a ella pensando que es segura y dejando así acceso a su dispositivo y sus cuentas a los cibercriminales.

 

Seguridad en los códigos QR


Cómo proteger los códigos QR para no poner en riesgo la seguridad de los clientes
Aunque los peligros de los códigos QR son una realidad y es muy probable que los ataques a través de ellos se incrementen, hay formas de proteger a nuestros clientes de ellos:
•    Comprobar regularmente que el código QR conduce a donde debe conducir y no a una web falsa.
•    Utilizar un generador de códigos QR que ofrezca garantías y confianza en materia de seguridad.
•    Comprobar que el código QR no ha sido modificado.


En cuanto a los usuarios, basta con tomar algunas precauciones:
•    No escanear códigos QR de dudosa procedencia.
•    Utilizar aplicaciones de escaneo que permitan ver la URL antes de abrirla o habilitar la opción si cuenta con ella la app de escaneo que tenemos instalada.
•    Si hemos accedido a la web, comprobar la URL antes de introducir ninguna credencial en ella.