Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

¿Porqué son tan peligrosos los Códigos QR?
Los códigos QR están de moda a pesar de que llevan existiendo desde 1994. Sin embargo, no se convirtieron en un nombre verdaderamente familiar hasta la era de la COVID-19. Hoy en día, se pueden ver por todas partes, y los códigos se utilizan para todo, desde mostrar los menús de los restaurantes hasta facilitar las transacciones sin contacto. Sin embargo, al igual que cualquier otra tecnología popular, el uso generalizado de los códigos QR también ha llamado la atención de los estafadores, que los han adoptado con fines maliciosos.

En este sentido, nos gustaría desvelar en este artículo todo lo que se debe saber sobre los códigos QR, desde cómo funcionan hasta cómo se pueden explotar y, sobre todo, lo que debemos tener en cuenta para protegerse frente a posibles estafas y ciberamenazas.

¿Qué es un código QR y cómo funciona?

Un código QR es un tipo de código de barras escaneable por dispositivos que, como su nombre indica, está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Un código QR puede almacenar hasta 4.296 caracteres alfanuméricos, aunque los que se utilizan habitualmente suelen contener menos caracteres y permiten así una fácil descodificación con la cámara de un smartphone.

Las cadenas de texto que se codifican en un código QR pueden contener diversos datos. La acción que se produce al leer un código QR depende de la aplicación que interactúa con dicho código, y los códigos pueden utilizarse para abrir un sitio web, descargar un archivo, añadir un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre otras muchas acciones. Los códigos QR son muy versátiles y pueden personalizarse para incluir logotipos. Las versiones dinámicas de los códigos QR permiten incluso cambiar el contenido o la acción en cualquier momento. Sin embargo, esta versatilidad puede ser un arma de doble filo.

¿Cómo se pueden explotar los códigos QR?

El gran uso de los códigos QR (y el potencial riesgo de un uso indebido) no pasa desapercibido para los estafadores. Así es cómo los delincuentes pueden utilizar los códigos para robar datos y dinero:

Redirigirte a un sitio web malicioso para robar información sensible

Los ataques de phishing no sólo se propagan mediante correos electrónicos, mensajes instantáneos o textos. Al igual que los atacantes pueden utilizar anuncios maliciosos y otras técnicas para dirigir a las víctimas a sitios fraudulentos, pueden hacer lo mismo con los códigos QR. Esto es especialmente preocupante si los códigos se colocan en anuncios en zonas concurridas o cerca de bancos u otras instituciones financieras.

Descargar un archivo malicioso en tu dispositivo

Muchos bares y restaurantes utilizan códigos QR para que puedas descargar un menú en formato PDF o instalar una aplicación que te permite hacer un pedido. Los estafadores podrían manipular fácilmente el código QR para engañar al usuario y hacer que descargue un archivo PDF malicioso o una aplicación móvil fraudulenta.

Activar acciones en su dispositivo

Los códigos QR pueden desencadenar acciones directamente en tu dispositivo, y estas acciones dependen de la aplicación que los lee (de hecho, hay que tener cuidado con las aplicaciones falsas de escaneo de códigos de barras). Sin embargo, hay algunas acciones básicas que cualquier lector QR básico es capaz de interpretar. Entre ellas, conectar el dispositivo a una red Wi-Fi, enviar un correo electrónico o un mensaje SMS con un texto predefinido o guardar información de contacto en el dispositivo. Aunque estas acciones en sí mismas no tienen carácter malicioso, podrían utilizarse para hacer que un dispositivo se conectase a una red comprometida o enviar mensajes en nombre de la víctima.

Desviar un pago o hacer peticiones de dinero

Hoy en día, la mayoría de las aplicaciones financieras permiten realizar pagos a través de códigos QR que contienen datos del destinatario del dinero. Muchas tiendas muestran estos códigos a sus clientes y facilitan así la transacción. Sin embargo, un atacante podría modificar este QR con sus propios datos y recibir pagos en su cuenta. También podría generar códigos con solicitudes de cobro de dinero para engañar a los compradores.

Robar la identidad del usuario o el acceso a una aplicación

Muchos códigos QR se utilizan como certificado para verificar la información de una persona, como su DNI o su pase de vacunación. En estos casos, los códigos QR pueden contener información tan sensible como la contenida en su DNI o historial médico, que un atacante podría obtener fácilmente escaneando el código QR. Sin ir más lejos, muchas aplicaciones, como WhatsApp, Telegram o Discord, utilizan en ocasiones códigos QR para autenticar las sesiones de los usuarios y así permitirles acceder a sus cuentas. Como ya ha ocurrido con WhatsApp, con ataques como el QRLjacking, los atacantes pueden engañar a un usuario suplantando la identidad del servicio y engañando al usuario para que escanee el QR proporcionado por el atacante.

En la mayoría de los casos, el atacante tendrá que generar un código QR malicioso que sustituya al código original que va a escanear la víctima. En otras palabras, los ataques implican ingeniería social y se basan en engañar a la víctima para que lleve a cabo una acción malintencionada. Por lo que esto es lo que hay que tener en cuenta antes de escanear un código QR.

Consejos para utilizar los códigos QR con seguridad

  • Antes de escanear un código QR, comprueba que no ha sido manipulado; por ejemplo, verifica que la pegatina del QR no tapa ninguna otra, como la original.
  • Evita escanear códigos QR encontrados al azar o códigos en mensajes no solicitados.
  • Ten cuidado al utilizar un código QR para pagar una factura o realizar otro tipo de transacción financiera y, si es posible, considera la posibilidad de utilizar otra opción de pago.
  • Utiliza los códigos QR con la misma precaución que los enlaces o archivos adjuntos en correos electrónicos o aplicaciones de mensajería.
  • Desactiva la opción de realizar acciones automáticas al escanear un código QR, como visitar un sitio web, descargar un archivo o conectarse a una red Wi-Fi.
  • Después de escanearlo, mira la URL para comprobar que es legítima. Aun así, a menudo es mejor evitar introducir tus datos de acceso o información personal en un sitio al que has llegado a través de un código QR.
  • No compartas códigos QR que contengan información sensible, como los utilizados para acceder a apps o los incluidos en documentos y certificados sanitarios.
  • Cuando generes un código QR, utiliza un servicio de confianza. Dicho servicio también puede verificar que el QR es auténtico y seguro.
  • Acuérdate de mantener tus aplicaciones actualizadas y de utilizar un software de seguridad.

Comparte este artículo para mejorar la calidad del blog…

WhatsApp
Facebook
Twitter
LinkedIn
Telegram
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor