Inicio Tecnología Peligro de los códigos QR. ¿Cómo pueden los ladrones explotarlos para...

Peligro de los códigos QR. ¿Cómo pueden los ladrones explotarlos para robar dinero?

17
0

Cecilia Pastorino, hacker ética, explica en el blog de ESET cuáles son los peligros y cómo puedes defenderte de este tipo de ataques.

Los códigos QR existen desde 1994, pero no fue hasta la era de la COVID-19 que se hicieron verdaderamente conocidos. Hoy en día, puede encontrarlos en todas partes y se utilizan para todo tipo de propósitos, desde mostrar menús de restaurantes hasta facilitar transacciones sin contacto e integrarse en aplicaciones de seguimiento de contactos.

Sin embargo, como cualquier otra tecnología popular, el uso generalizado de códigos QR ha atraído la atención de los estafadores, que los han adoptado con fines dañinos. Esta tendencia incluso ha provocado una alerta de la Oficina Federal de Investigaciones (FBI) de EE. UU. En este artículo, analizamos cómo los estafadores usan códigos de ganancias ilícitas y qué tener en cuenta al escanear un código QR.

¿Qué es un código QR y cómo funciona?

Abreviado para «Respuesta rápida», un código QR es un tipo de código de barras que se puede escanear y, como su nombre indica, está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Un código QR puede almacenar hasta 4296 caracteres alfanuméricos, aunque los de uso común tienden a contener menos caracteres y, por lo tanto, permiten una fácil decodificación por parte de la cámara de un teléfono inteligente.

Las cadenas que están codificadas en un código QR pueden contener una variedad de datos. La acción requerida para leer un código QR depende de la aplicación que interactúa con ese código. Los códigos se pueden usar para abrir un sitio web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre muchas otras opciones. Los códigos QR son extremadamente versátiles y se pueden personalizar para incluir logotipos. Las versiones dinámicas de los códigos QR incluso le permiten cambiar el contenido o la acción en cualquier momento. Sin embargo, esta versatilidad puede ser un arma de doble filo.

¿Cómo se pueden explotar los códigos QR?

La gran cantidad de casos de uso de códigos QR (y el potencial de uso indebido) no es un problema que los estafadores pasen por alto. Así es como los delincuentes pueden corromper los códigos para robar datos y dinero:

  1. Lo redirige a un sitio web malicioso para robar sus datos confidenciales

Los ataques de phishing no solo se propagan a través de correos electrónicos, mensajes instantáneos o mensajes de texto. Así como los atacantes pueden usar anuncios maliciosos y otras técnicas para dirigir a las víctimas a sitios fraudulentos, pueden hacer lo mismo con los códigos QR. Esto es motivo de preocupación, especialmente cuando los códigos se muestran en vallas publicitarias en áreas concurridas o cerca de bancos y otras instituciones financieras. En un caso generalizado reciente, los estafadores colocaron calcomanías de códigos QR fraudulentos en estacionamientos públicos en varias ciudades de Texas, dirigiendo a las personas a sitios de pago falsos.

  1. Descarga un archivo malicioso a tu dispositivo

Muchos bares y restaurantes utilizan códigos QR para descargar un menú en PDF o para instalar una aplicación que permite a los clientes realizar un pedido. Los atacantes podrían modificar fácilmente el código QR para engañar al usuario para que descargue un archivo PDF malicioso o una aplicación móvil ilegítima.

  1. Activar acciones en el dispositivo

Los códigos QR pueden desencadenar acciones directamente en su dispositivo, dependiendo de la aplicación que los lea (de hecho, tenga cuidado con las aplicaciones de escaneo de códigos de barras falsos). Sin embargo, hay algunas acciones básicas que cualquier lector QR básico puede interpretar. Estos incluyen conectar su dispositivo a una red Wi-Fi, enviar un correo electrónico o mensaje SMS con un texto predefinido o guardar su información de contacto en su dispositivo. Aunque estas acciones en sí mismas no son maliciosas, podrían usarse para bloquear un dispositivo en una red comprometida o para enviar mensajes en nombre de la víctima.

  1. Desviar un pago o realizar una solicitud de pago

La mayoría de las aplicaciones financieras hoy en día permiten realizar pagos a través de códigos QR que contienen datos pertenecientes al destinatario del dinero. Muchas tiendas muestran estos códigos a sus clientes y así facilitan la transacción. Sin embargo, un atacante podría modificar este QR con sus propios datos y recibir pagos en su cuenta. También podría generar códigos para recolectar dinero para engañar a los compradores, como fue el caso de aquellos usuarios que denunciaron haber sido engañados con códigos de pago QR falsos.

  1. Roba la identidad del usuario o el acceso a una aplicación

Muchos códigos QR se utilizan para verificar la información de una persona, como datos personales o certificado de vacunación. En estos casos, los códigos QR pueden contener información tan sensible como los datos incluidos en el boletín o la historia clínica, que un atacante podría obtener fácilmente escaneando el código QR.

Ciertamente, muchas aplicaciones, como WhatsApp, Telegram o Discord, a veces usan códigos QR para autenticar las sesiones de los usuarios y así permitir que los usuarios accedan a sus cuentas. Como ya ha ocurrido con WhatsApp, con ataques como el QRLjacking, los atacantes pueden engañar a un usuario haciéndose pasar por la entidad que presta el servicio y engañar al usuario para que escanee el QR facilitado por el atacante.

En la mayoría de los escenarios, el atacante tendrá que generar un código QR malicioso que reemplazará al original. En otras palabras, los ataques involucran ingeniería social y se basan en el engaño de la víctima para acabar con el fraude.

Esto es lo que debe tener en cuenta antes de escanear un código QR:

Consejos para mantenerse protegido al usar códigos QR

  • Antes de escanear un código QR, compruebe que no haya sido manipulado; por ejemplo, comprueba que no cubre otro código QR.

  • Evite escanear códigos QR encontrados al azar o códigos de mensajes no solicitados.

  • Preste mucha atención a los códigos QR, como enlaces o archivos adjuntos en correos electrónicos o aplicaciones de mensajería.

  • Tenga mucho cuidado al usar un código QR para pagar una factura o realizar otro tipo de transacción financiera. Considere usar otra opción de pago.

  • Desactive la opción para realizar acciones automáticas al escanear un código QR, como visitar un sitio web, descargar un archivo o conectarse a una red Wi-Fi.

  • Después de escanear, mire la URL para ver si es legítima. Aun así, a menudo es mejor evitar ingresar su información de inicio de sesión o información personal en un sitio al que ha accedido con un código QR. Si algo no se ve bien, abra un navegador e ingrese la URL usted mismo.

  • No comparta códigos QR que contengan información sensible, como los que se utilizan para acceder a aplicaciones o los que se incluyen en documentos y certificados de salud.

  • Al generar un código QR, utilice un servicio de confianza. Dicho servicio también puede verificar que el código QR sea genuino y solo entonces realizar la acción deseada.

  • Mantenga sus aplicaciones actualizadas y utilice software de seguridad.

Si te gusta este artículo, esperamos unirte a la comunidad de lectores en nuestra página de Facebook, con un Me gusta a continuación:

Leer:  Space X perderá casi 40 satélites lanzados al espacio por tormenta solar
Artículo anteriorLaptops MSI – Ideales para un Estilo de Vida Dinámico
Artículo siguientePC Garage anuncia Gaming Friday
Tras una licenciatura en economía, un máster en gestión estratégica y 18 meses de viaje por todo el mundo, empecé a trabajar como redactor de páginas web.