Las personas que trabajamos seguridad tendemos a ser desconfiados, esta desconfianza se hace habitual en nuestro día a día, así como un bombero al llegar a cierto lugar lo primero que hace es buscar las salidas de emergencias y las mangueras contra incendios, los profesionales de la seguridad nos sentamos de frente a la puerta principal si estamos en un restaurante, por ejemplo.
Siendo un profesional de la ciberseguridad la desconfianza es doble ya que como es bien sabido más del 95 % de los ciberdelitos ocurren por los errores de los usuarios finales, hace unos meses fui a un restaurante para almorzar, cuando pedí la carta me pidieron que escáneara el código QR que estaba sobre la mesa, a lo cual me negué porque como experto en el área de la seguridad informática sé que este tipo de códigos son el caldo de cultivo perfecto para los ciberdelincuentes.
Utilizar un código QR para obtener información o vincularse a una página web es habitual, pero usarlos tiene su riesgo. Los ciberdelincuentes los utilizan para hacerse con datos y contraseñas privadas. La pandemia popularizó, casi de la noche a la mañana, el uso de los códigos QR. Muchos establecimientos utilizaron este sistema como alternativa a los soportes físicos, para poder dar información a los clientes sobre sus servicios evitando el contacto con superficies potencialmente contaminadas.
Pasada la tormenta sanitaria, estos pequeños códigos en blanco y negro siguen en boga. Su sencillez de uso es su punto fuerte: solo requieren de un teléfono inteligente o un dispositivo portátil equipado con una cámara. Pero no todo son ventajas, y los ciberdelincuentes han visto su gran potencial.
A través de QR ilegítimos, introducen malware y roban contraseñas y datos a los usuarios. Es lo que se conoce como QRishing o phishing a través de códigos QR. Por eso, antes de escanear cualquier código QR conviene tomar ciertas precauciones. Hacerlo de manera fiable y segura nos evitará grandes problemas.
Que son los códigos QR
QR son las iniciales de Quick Response, “respuesta rápida” en español. Llevan utilizándose desde hace más de un cuarto de siglo, estos emplean un sistema de almacenamiento de información en una matriz de puntos. Técnicamente son conocidos como códigos de barra bidimensionales. De hecho, son una evolución de los códigos de barras, que tienen codificación unidimensional. Sin embargo, aunque ambos sirven para almacenar información, los QR tienen una capacidad mayor: pueden almacenar un total de 7.089 dígitos, lo equivalente a 4.296 caracteres. Además, permiten trabajar con contenidos y acciones.
Los peligros de utilizar un codigo QR
Los ciberdelincuentes han aprovechado la popularidad de los QR para sacar su propio provecho. Mediante el uso de códigos ilegítimos, instalan malware en el dispositivo que los escanea. Este software fraudulento no solo es capaz de infectar el aparato con virus, también puede hacerse con información sensible de su propietario.
Además, los hackers suplantan la identidad de la URL original creando un dominio falso. Esta técnica de ingeniería social se conoce como QRishing (derivado de la combinación de los conceptos phishing y código QR) o phishing a través de códigos QR.
Al escanear el código, el usuario es dirigido a un sitio web falso donde se le piden datos personales o contraseñas con el fin de suplantar su identidad o realizar suscripciones o pagos a ciertos canales.
Como evitar el fraude
Para evitar caer en la trampa de un QR ilegítimo, redacte estos conejos los cules estoy seguro le serán de utilidad:
Evite ser victima
Adolfo M. Gelder
@adogel
t.me/seguridadintegral