Logo Revista de Seguridad

Así puedes evitar ser víctima de un ciberataque por códigos QR

Escaneas códigos QR continuamente: en tus cenas de restaurante, cuando quieres conocer la cartelera de tu cine favorito, para acceder a información de tu centro de salud e incluso para alquilar una bicicleta pública. Los ciberdelincuentes saben que esta tecnología ya forma parte de tu día a día y aprovechan tu confianza para atacar cuando menos te lo esperas. No todo está perdido: siempre puedes adelantarte a sus pasos para prevenir situaciones indeseadas. Profesionales de Entelgy Innotec Security te ofrecen estas recomendaciones para evitar que te conviertas en víctima de un qrishing.

Madrid, 26 de septiembre de 2023.- La concienciación es siempre el mejor antivirus: el primer paso en la prevención para evitar sufrir un ciberataque mediante uso de tácticas de ingeniería social. Entre ellas prolifera el uso de códigos QR fraudulentos que los ciberdelincuentes ubican en lugares susceptibles de ser visualizados y escaneados por posibles víctimas, como vías públicas, carteles, farolas, ascensores, transporte público, bares, restaurantes, tiendas de ropa y comercios o centros de salud, etcétera.

Una vez escaneados, estos códigos pueden infectar los dispositivos a través de la instalación de un software malicioso, instar a la descarga de una aplicación especialmente diseñada con fin dudoso, o bien, pedir a los usuarios datos personales, credenciales privadas o información bancaria.

Para evitar convertirte en víctima de este tipo de ciberataque, conocido especialmente como qrishing, Raquel Puebla e Itxaso Reboleiro, analistas de ciberinteligencia de Entelgy Innotec Security, indican las siguientes recomendaciones y buenas prácticas:

  • Se recomienda visualizar el enlace de la página web a la que redirige cada código QR antes de acceder al mismo para evitar entrar en sitios web no deseados. Para ello, resulta imprescindible la concienciación en materia de ciberseguridad para conocer los riesgos asociados a esta ciberamenaza, así como incorporar medidas de prevención.

    Entre otras, por ejemplo, se aconseja bloquear en los teléfonos móviles la funcionalidad que permite abrir de manera automática enlaces contenidos en los códigos QR, así como realizar cualquier otra acción automática (como descargar un elemento o conectarse a una red). Así mismo, puede resultar conveniente hacer uso de aplicaciones legítimas que permitan leer la dirección a la que remite el QR antes de ser dirigido a la misma. Así el usuario podrá comprobar que realmente está introduciéndose en el sitio adecuado.

  • Por otro lado, si el código QR solicita una acción que puede no estar relacionada con la finalidad que debería afrontar, se debe cerrar la ventana correspondiente e informar de ello a quien corresponda, tanto a las autoridades como a los equipos de respuesta a incidentes pertinentes como a la organización cuyo código se ha manipulado. Por ejemplo, en un restaurante, el código QR de una carta debería remitir a la misma. Sin embargo, un código malicioso podría solicitar, entre otras cuestiones: la descarga de una aplicación, la petición de información sensible o la realización de un pago.
  • Por otro lado, aunque el QR tenga una función similar a la que afirma efectuar, también es conveniente realizar comprobaciones adicionales. Por ejemplo, en el caso de un QR destinado a publicitar la descarga de una aplicación móvil, el usuario debería revisar si la descarga se produce desde un sitio web oficial (Google Play o Apple Store) o desde una plataforma de terceros, así como observar el número total de descargas y su reputación.
  • Además, se debe desconfiar de (e incluso rechazar) tarjetas y folletos informativos que contengan códigos QR y que sean distribuidas por individuos desconocidos, generalmente en forma de regalo, para publicitar algún servicio o establecimiento. Este tipo de acciones han sido aprovechadas, por ejemplo, tras la fama de series y películas de gran visualización que han derivado en el rápido desarrollo de técnicas y productos de merchandising para dar continuidad a estas producciones. Este hecho es aprovechado por grupos de ciberdelincuentes para distribuir tarjetas que utilizan simbología de la serie y que en la práctica redirigen a los usuarios a sitios web comerciales poco fiables.
  • Del mismo modo, no se debería escanear ningún código QR ubicado en lugares en los que aparentemente no deberían estar o que sean hallados por el usuario al azar, como en postes, farolas o carteles.
  • Por último, con frecuencia los ciberdelincuentes superponen códigos QR falsos sobre otros oficiales, por lo que es imprescindible comprobar manualmente que no han sido manipulados o adheridos sobre otros. Esta práctica puede ser efectuada tanto por los usuarios del servicio para el que se ha empleado un código QR como desde la entidad que pudiese haber sido afectada por su aparición.

    En este último caso hay que establecer revisiones periódicas, así como hacer uso de generadores de códigos QR confiables y comprobar que redirigen al sitio web correcto. En el caso de las organizaciones susceptibles de ser afectadas por esta ciberamenaza, sobre todo aquellas que hacen uso de códigos QR durante el ejercicio de sus funciones, resulta conveniente divulgar a los usuarios de sus sistemas las recomendaciones precedentes y tratar de concienciar acerca del riesgo existente en la materia, así como el auge exponencial de esta clase de estafas.

NOTICIAS

Últimas actualizaciones en el ámbito de la Seguridad

Buscar en el portal