Gracias a la pandemia esta tecnología resurgió como una excelente solución a diversas industrias. Sin embargo, los ciberdelincuentes han aprovechado la oportunidad de convertir a estos códigos en un vector de ataque imperceptible que pone en riesgo la ciberseguridad de los usuarios.
La contingencia sanitaria impulsó a industrias de diversos rubros a implementar tecnologías que les permitieran limitar lo más posible el contacto humano y agilizar la atención. De este modo, los códigos QR (del inglés Quick Response / Respuesta Rápida en español) se abrieron paso rápidamente en empresas gastronómicas, de salud, entretención, turismo, entre otras.
“Los códigos QR son códigos bidimensionales que incorporan una URL alojada en una imagen por lo que, al escanearla, se accede a un sitio web. Por eso, su uso ha crecido de manera exponencial durante la pandemia al ser utilizado para escanear cartas de menú de restaurantes, carteleras de teatros, etc.”, señala Hermann Obermöller, Gerente de Servicios Gestionados de NovaRed.
Sin embargo, existen riesgos asociados a su uso que muchos usuarios y empresas aún desconocen, por eso, los Ciberexperto.cl”>Ciberexpertos lo han denominado como “una amenaza en desarrollo”. En primer lugar, no existe conciencia de que al escanear, es como estar haciendo clic en un enlace totalmente desconocido, que podría ser un phishing y redirigir a una web maliciosa. Por otro lado, en la mayor parte de los casos, se escanean desde un dispositivo móvil, que podría transformarse en la puerta de acceso a un malware que robe la información que allí se aloja.
Según el Ciberexperto, los códigos QR se han transformado en un nuevo vector de ataque y, aunque aún no hay cifras documentadas en la región respecto a los índices de ciberataques efectuados con esta tecnología, no se puede negar que van en rápido aumento.
Ataques más comunes
“Lamentablemente, un ciberdelincuente con un código QR o una aplicación para su lectura podría llegar conseguir datos de ubicación, elevar los permisos del administrador en el móvil e iniciar la descarga de software malicioso en el equipo (troyanos bancarios, malware, etc.). Asimismo, pueden enviar al usuario a una página falsa para robar códigos de acceso o ingresar a las apps de pago que estén en el dispositivo para luego realizar transacciones. Por ello, es fundamental instalar herramientas de seguridad que protejan los dispositivos”, agrega el experto.
Desde NovaRed, explican que el QRLjacking es uno de los métodos que más están implementando en el último tiempo los ciberdelincuentes. Corresponde a un ataque de ingeniería social en el que el atacante suplanta el servicio de WhatsApp Web en el ítem “Inicio de sesión con código QR” y allí reemplaza el código original por uno malicioso que le posibilita robar las credenciales de la sesión del usuario, acceder a ella y, por ende, secuestrar su cuenta.
El SIM Jacking es otro método utilizado por los ciberdelincuentes donde, al escanear un código QR desde el dispositivo móvil, se carga o inicia automáticamente una llamada telefónica a un número predefinido. Con esa llamada, se está entregando la información del identificador de llamadas y con él todos los datos del teléfono.
Recomendaciones para evitar ser víctimas de estos ataques
Como en todo orden de cosas, siempre se recomienda tomar medidas antes de realizar, en este caso, el escaneo del código QR. Una buena práctica es comprobar la URL al ingreso, lo que se puede hacer deshabilitando, en el caso de los dispositivos móviles, la apertura automática de los enlaces al escanear este tipo de códigos. De este modo, se podrá ver si la dirección web parece segura o si tiene algo sospechoso. Existen herramientas como Google Lens que permite visualizar el enlace antes de ingresar. Asimismo, hay aplicaciones gratuitas de reconocidas compañías de antivirus que ayudan a revisar los códigos en el celular para descartar que sean maliciosos.
Asimismo, los expertos recalcan la importancia de mantener los dispositivos móviles actualizados con soluciones de seguridad robusta; antiphishing, antimalware, antivirus.
“Desconfiar es también una buena forma de resguardarse. Evitar a toda costa escanear códigos QR en la vía pública o en lugares de extraña procedencia, y es que un ciberdelincuente puede fácilmente adherir su código QR en papel sobre uno real, haciendo una imitación que muchas veces será difícil de identificar”, comenta Obermöller. A lo que agrega “mientras más preparadas estén las personas, conozcan los riesgos y tomen los resguardos necesarios, más se puede disminuir el daño que puede ocasionar un posible ciberataque”.
