QRishing o el phishing de los QR
Los ciberataques de código QR están ocurriendo en todo el mundo con una frecuencia alarmante. Hablamos del fenómeno del QRishing.
Los códigos QR
Los códigos QR están formados por módulos bidimensionales, compuestos por puntos diferenciados entre sí por colores de un alto contraste, en los que se almacena distinta información, pudiendo ir desde unos pocos caracteres hasta varios miles. Se los considera una evolución del código de barras.
Consecuencia de la pandemia y de la economía de bajo contacto, en los últimos tiempos los códigos QR han proliferado en cualquier ámbito de nuestra vida cotidiana. Escanearlos para obtener información es un ejercicio habitual pero no está exento de riesgos.
Los QR tienen usos diversos. Según el INCIBE (Instituto Nacional de Ciberseguridad) son estos:
- La inserción de un enlace para acceder a una página web (campaña de marketing) a información turística o a los servicios y productos de un establecimiento.
- La inserción de la información de la red de una conexión wifi (el nombre de la red o SSID, la contraseña de acceso, y el tipo de cifrado que utiliza la red).
- El acceso directo a la descarga de aplicaciones en mercados oficiales o de la web del fabricante.
- Protección de contenido alojado en documentos confidenciales.
- Generación de contraseñas de un solo uso (OTP) o códigos cifrados para el acceso a servicios como, por ejemplo, WhatsApp Web. También destaca como doble factor de autenticación para bastionar el acceso a determinados productos y servicios online.
- Para garantizar la trazabilidad de los productos en el sector del transporte y la logística.
- En los países asiáticos está extendido su uso como forma de pago a través del móvil en clara competencia con el NFC (Near Field Communication).
- Para acceder a sistemas de transporte (autobús, avión, etc.), zonas de ocio (conciertos, museos, exposiciones, etc.) o a zonas reservadas para clientes y usuarios como, por ejemplo, la sala de espera vip de una compañía aérea.
¿Qué es el QRishing?
El QRishing o phishing a través de QR es uno de los ejemplos de ciberdelincuencia más comunes.
Entre los riesgos que pueden sufrir los clientes debido al uso de estos códigos en tu negocio, destacan los siguientes:
Ataques de tipo phishing (Qrishing)
Mediante una página web, mensaje o correo electrónico, esta técnica pretende lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR. El usuario, al escanearlo, es redirigido a una página web que suplanta a la de la empresa y solicita información confidencial. Si el usuario no verifica la dirección web, puede ser engañado.
Descarga de malware
Se lleva a cabo mediante el uso de sitios web maliciosos para distribuir, a través de la inyección de código malicioso o de un ataque Drive by download. Se caracteriza por la descarga de manera forzada de software malicioso cuando el usuario visita el sitio web, explotando las vulnerabilidades del software y ejecutando acciones maliciosas, como unirse a una botnet, filtrar la información confidencial, suscribirse a servicios… Todas estas acciones ocurren en segundo plano, por lo que los usuarios no son conscientes de ello.
Qrljacking o secuestro de sesión
Su objetivo es secuestrar la cuenta de un servicio que acepte la función “Inicio de sesión con código QR”. Para ello tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original, capturado previamente por los ciberdelincuentes. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta. El caso más conocido fue el de WhatsApp Web.
Consejos
Entre las recomendaciones y buenas prácticas destacan:
- Comprobar frecuentemente los códigos QR de tu negocio.
- Elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad.
- Comprobar que el código QR redirige a la página indicada, usando apps de lectura que permitan consultar la URL antes de abrirla.
- Deshabilitar la apertura automática de enlaces al escanear un código QR; así se podrá comprobar la dirección a la que enlaza el código.
- Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio.
- En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgues el código QR por redes sociales.
No hay comentarios