Los códigos QR tienen muchos usos para las organizaciones y sus empleados, pero los ciberdelincuentes también pueden aprovecharlos. Son comunes en todo, desde menús de restaurantes hasta vallas publicitarias, pero estos códigos aparentemente benignos pueden representar una seria amenaza para la seguridad de los dispositivos móviles empresariales. Códigos QR, la nueva amenaza, hace que los profesionales TI deban tener en cuenta estos riesgos y aprender cómo evitarlos.
Las organizaciones deben conocer las diferentes amenazas que pueden aparecer bajo la apariencia de un conveniente código QR y cómo evitarlas.
¿Qué son los códigos QR?
A veces la gente describe los códigos QR como códigos de barras 3D. Consisten en una serie de cuadrados dispuestos en un cuadrado mucho más grande y funcionan de manera similar a un código de barras. Mientras que un código de barras normalmente sólo puede representar cadenas alfanuméricas cortas, un código QR puede almacenar mayores cantidades de datos.
Los códigos QR se utilizan a menudo para publicidad porque pueden almacenar largas cadenas de datos, lo que los hace perfectos para almacenar URL. Esta capacidad ha demostrado ser especialmente útil dado que el uso de teléfonos inteligentes está muy extendido y pueden actuar como escáneres de códigos QR. Prácticamente cualquiera puede escanear un código QR y ser redirigido directamente al sitio web correspondiente sin la molestia de tener que escribir manualmente la dirección del sitio.
Como resultado, los anunciantes muestran códigos QR de manera destacada en vallas publicitarias, revistas, stands de ferias comerciales y prácticamente en cualquier otro lugar donde un código QR pueda atraer la atención.
Problemas de seguridad del código QR
Aunque los códigos QR tienen numerosas aplicaciones útiles, los delincuentes también pueden utilizarlos con fines maliciosos. Hace poco el FBI publicó una advertencia de que los ciberdelincuentes podrían alterar los códigos QR para dirigir a las víctimas a sitios web maliciosos. Los estafadores suelen buscar en las últimas tendencias nuevas tácticas de delito cibernético.
Hay dos tipos principales de exploits de códigos QR que utilizan los ciberdelincuentes. El primero es un ataque de phishing basado en códigos QR, que a veces se denomina quishing. Este ataque utiliza un código QR para atraer a la víctima a una página de phishing que los piratas informáticos han diseñado para robar las credenciales, datos personales u otra información confidencial de la víctima.
El otro tipo principal de ataque de código QR a veces se denomina QRLjacking. En este tipo de ataque, los piratas informáticos utilizan un código QR para propagar malware al dispositivo de la víctima. El atacante engaña al usuario para que escanee un código QR que dirige el dispositivo del usuario a una URL maliciosa, que infecta el dispositivo con malware.
Además de estos dos tipos básicos de ataques, los códigos QR pueden lanzar otro tipo de acciones a nivel de dispositivo. Por ejemplo, un pirata informático podría utilizar un código QR para realizar automáticamente una llamada telefónica o enviar un mensaje de texto desde el dispositivo que escaneó el código.
En las circunstancias adecuadas, los piratas informáticos pueden incluso utilizar códigos QR para iniciar un pago desde el dispositivo del usuario o forzar al dispositivo a unirse a una determinada red Wi-Fi. Para evitar este tipo de ataques te recomendamos usar y los consejos que te vamos a ofrecer a continuación.
Cómo las organizaciones pueden protegerse contra los peligros de los códigos QR
Hay tres cosas que las organizaciones deben hacer para proteger a los usuarios contra ataques basados en códigos QR. Considera los siguientes pasos para evitar las posibles consecuencias de un código QR fraudulento:
- Asegúrate de que los usuarios estén ejecutando software de seguridad como Panda Security, en cualquier dispositivo que tenga acceso a los recursos corporativos. El software debería poder proteger contra ataques de apropiación de dispositivos, ataques de phishing y otras vulnerabilidades de dispositivos móviles.
- Educa a los usuarios sobre los peligros de ciberseguridad asociados con el escaneo de códigos QR. De lo contrario, es posible que los usuarios no se den cuenta de que los códigos QR pueden resultar problemáticos.
- Implementa los requisitos de autenticación multifactor (MFA) en toda la organización de manera provisional y luego trabaja gradualmente para adoptar una solución de autenticación que no dependa de contraseñas. Muchos ataques basados en códigos QR están diseñados para engañar a los usuarios para que ingresen sus contraseñas para que los ciberdelincuentes puedan robar sus credenciales. Trabajar en eliminar las contraseñas puede ayudar a frustrar este tipo de ataques.