relax -

Ojo, códigos QR también pueden ser vulnerados y usado por estafadores

Los códigos QR poseen una estructura que permite que sean decodificados por aplicaciones que funcionan como lectores utilizando, por ejemplo, la cámara de fotos del teléfono.

Redacción web

El uso de los códigos QR tuvo una explosión con la pandemia, en gran parte por su contribución al reducir la necesidad de contacto con superficies que puedan haber sido manipuladas por terceros y de esta manera minimizar los riesgos de contagio.

Actualmente están siendo utilizados en diversos sectores y de distinta manera, por ejemplo, para mostrar el menú de comidas de un restaurante, medios de pago, solicitud de servicios, compartir un contacto, etc.

Sin embargo, como suele suceder con cualquier tecnología que se vuelve popular, también captó la atención de los cibercriminales que los están utilizando con fines maliciosos. ESET, compañía líder en detección proactiva de amenazas, advierte de qué forma pueden ser aprovechados los códigos QR por los estafadores para engañar a sus víctimas.

QR es un acrónimo de Quick Response, en español “respuesta rápida”, son códigos que están diseñados para ser leídos e interpretados rápidamente. En ellos se puede almacenar de forma matricial un máximo de 4296 caracteres alfanuméricos en las versiones más grandes, aunque los de uso público general suelen ser matrices más pequeñas para ser capturadas fácilmente desde la cámara del teléfono.

Los códigos QR poseen una estructura que permite que sean decodificados por aplicaciones que funcionan como lectores utilizando, por ejemplo, la cámara de fotos del teléfono. La acción o el resultado obtenido luego de leer un código QR puede variar y va a depender de la aplicación que esté interactuando con dicho código. A partir de un código QR se puede: abrir una página web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre muchas otras. Los códigos QR son muy versátiles, se pueden personalizar, incluir logotipos e incluso hay versiones dinámicas que permiten cambiar el contenido o acción del QR en cualquier momento.

 

También puedes leer: Julio César Chávez, atacado por su hijo: 'Consumía más que yo, nos golpeó, le pegó a mi mamá...'

 

“Dada la versatilidad de los códigos QR y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio. Si a esto le sumamos la cantidad de códigos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se amplía aún más.”, menciona Cecilia Pastorino, Investigadora de Seguridad Informática de ESET Latinoamérica. 

Algunos ejemplos de acciones maliciosas que podrían realizar los cibercriminales:

1. Redirigir al usuario a una web maliciosa para robarle información: Al igual que los atacantes emplean técnicas de malvertising o BlackHat SEO para dirigir a sus víctimas a sitios fraudulentos, podrían hacer lo mismo con los códigos QR. Especialmente si estos se encuentran en publicidades en la vía pública o en las áreas de atención al cliente de entidades financieras. Recientemente en Estados Unidos delincuentes colocaron en parquímetros públicos ubicados en distintas ciudades, calcomanías con falsos códigos QR que llevaban a las potenciales víctimas a un falso sitio para supuestamente realizar el pago con el objetivo de robar los datos financieros.

2. Descargar un archivo malicioso en el equipo de la víctima: Muchos bares y restaurantes utilizan códigos QR para que el usuario descargue un archivo PDF con el menú o instalen una aplicación para realizar el pedido. En este y otros contextos similares, un atacante podría fácilmente alterar el código QR para llevar al usuario a descargar un PDF malicioso o llevarlo a instalar una aplicación fraudulenta.

3. Realizar acciones en el dispositivo de la víctima: Los códigos QR pueden generar acciones directamente en el dispositivo lector, estas acciones dependerán de la aplicación que los esté leyendo por lo que hay que prestar atención a las falsas apps de lectores de QR. Sin embargo, existen algunas acciones básicas que cualquier lector QR es capaz de interpretar. Por ejemplo, conectar el dispositivo a una red Wi-Fi, enviar un correo o un SMS con un texto predefinido, o guardar un contacto en el dispositivo. Si bien estas acciones en sí mismas no son maliciosas, podrían ser utilizadas por un atacante para conectar un equipo a una red intervenida, mandar mensajes en nombre de la víctima o agendar un contacto para un posterior engaño.

4. Desviar un pago o realizar solicitudes de dinero: La mayoría de las aplicaciones financieras digitales actuales permiten realizar pagos a través de códigos QR que contienen los datos del receptor del dinero. Muchas tiendas dejan estos códigos a la vista de sus clientes para facilitar la operación. Un atacante podría modificar este QR con sus propios datos y recibir así los cobros en su cuenta. También podría generar códigos con solicitudes de cobro de dinero para engañar a compradores, como le ocurrió a algunos usuarios que denunciaron que fueron estafados con el envío de un falso código QR para realizar un pago.

5. Robar la identidad del usuario o el acceso a una aplicación: Muchos códigos QR se utilizan como un certificado para verificar información de una persona, como el documento de identidad o los pases sanitarios. En estos casos los códigos QR contienen información tan sensible como la que se encuentra en un documento de identidad o historia clínica, la cual un atacante podría obtener fácilmente escaneando el código QR.

Por otro lado, muchas aplicaciones (como WhatsApp, Telegram o Discord) utilizan códigos QR para autenticar la sesión de un usuario y permitirle acceder a su cuenta. Tal como ya ha ocurrido con WhatsApp, los ataques como QRLjacking pueden engañar a un usuario suplantando la identidad de un servicio y provocar que escanee el QR proporcionado por el atacante.

 

También puedes leer: Amanda Díaz siente que está flotando; aún no define cómo será su boda

 

“En la mayoría de los casos identificados, el atacante deberá crear un código QR malicioso que luego reemplazará por el código original para que la víctima escanee. Es decir, que muchos de estos riesgos se basan en la ingeniería social y en lograr engañar a la víctima.”, agrega Pastorino de ESET.

Los consejos para utilizar los códigos QR de forma segura son:

 

En el caso de los pagos con QR y operaciones financieras, verificar siempre que la transacción se haya realizado con éxito. Confirmar la operación tanto en el dispositivo del comprador, como en el del vendedor y asegurarse de haber recibido el dinero correctamente. Si se tiene códigos QR al alcance del público, comprobar regularmente que no hayan sido adulterados. A la hora de generar un código QR utilizar un servicio de confianza para hacerlo. Además, verificar que el QR obtenido por el servicio este correcto y que realiza la acción deseada. Deshabilitar la opción de realizar acciones automáticas al leer un código QR, como acceder a un sitio web, descargar un archivo o conectarse a una red Wi-Fi. Verificar siempre la acción antes de realizarla. Revisar que la URL sea correcta, que el archivo descargado, los datos obtenidos o la acción realizada sea la esperada. No compartir códigos QR con información sensible, tales como los que se utilizan para acceder a aplicaciones o los que se incluyen en documentos y certificados de salud. Evitar sacarle fotos, no compartirlos y almacenarlos de forma segura. Por supuesto, mantener siempre los dispositivos protegidos, contar con herramientas de seguridad y actualizar las aplicaciones. De esta forma, le será mucho más difícil a un cibercriminal comprometer la información.
Etiquetas
Más Noticias

El País ¡Vienen las reválidas! Anuncian cronograma de recuperación académica estudiantil

El País Funcionario de la ATTT queda preso por traficar migrantes en Paso Canoas

El País ¡Vienen las reválidas! Anuncian cronograma de recuperación académica estudiantil

El País Realizan consulta ciudadana sobre proyecto de reformas a la Ley de la CSS en Azuero y Coclé

El País Banco de Desarrollo Agropecuario denuncia lesión patrimonial por más de 6 millones de dólares

El País Aprehenden a Keiko en Costa Rica; era uno de los más buscados por homicidio

El País Autoridades intensifican operativos contra el dengue a nivel nacional; van 50 defunciones

Fama Italy Mora y la pequeña parte que no le gusta de su trabajo

Fama Edwin Pitti agradece a Joe Biden y Kamala Harris por honrar el trabajo de su esposa

Fama Alejandra Oraa se despide de CNN y Birna Julissa le deja un alentador mensaje

El País Refuerzan conocimientos agroforestales en Guásimo de Donoso

El País Intensifican operativo de limpieza en Colón; piden la colaboración de la comunidad

El País Niñas y niños de Piña recibirán regalos en Navidad al estilo 'Combo colombiano'

El País Estudiantes de la Escuela Vocacional Especial se destacan con la obra teatral 'Jesús La Verdadera Navidad'

El País Buscan prevenir inundaciones en Zona Libre de Colón

El País Imputan cargos a presunto responsable del homicidio de un seguridad en Arraiján

Deportes Emily Santos hace historia: nuevo récord nacional en 100m pecho en piscina corta

Fama Taylor Swift se convierte en la cantante con más premios Billboard de la historia