Los peligros de los códigos QR ¿son un riesgo para la seguridad?

Aunque los códigos QR llevan unos cuantos años entre nosotros, gracias a la pandemia su uso se extendió mucho más y ahora están más presentes. Esto ha hecho que los códigos QR se conviertan en un arma más para los ciberdelincuentes; a través de distintas técnicas, como el empleo de QR maliciosos, estos códigos pueden poner en riesgo nuestros dispositivos, seguridad y privacidad. En este artículo veremos cuáles son los principales peligros de los códigos QR.

¿Qué son los códigos QR?

Antes de hablar de los peligros que puede entrañar el escaneo de un código QR, empecemos explicando brevemente qué son los códigos QR.

Los códigos QR son códigos de respuesta rápida (quick response en inglés), capaces de almacenar una gran cantidad de información. Están compuestos por módulos en dos dimensiones formados por puntos diferenciados entre sí por colores en un alto contraste.

Estos códigos se pueden escanear con un smartphone para acceder a la información que contienen. Actualmente, la mayoría, por no decir todos los smartphones cuentan con una aplicación de escáner QR integrada, por lo que ya ni siquiera es necesario descargar una.

Los códigos QR se generan a través de un software de creación de este tipo de códigos y están estandarizados por la Norma ISO/IEC 18004:2015.

¿Para qué se usan los códigos QR?

Los códigos QR sirven para diferentes funciones, aunque la principal y más conocida por los usuarios es la de poder acceder a contenidos en Internet a través de ellos, pero otros usos son:

• Información de acceso a una red WiFi (nombre de la red, contraseña y tipo de cifrado de información empleado).
• Acceso a descarga de aplicaciones en tiendas oficiales o páginas oficiales.
• Acceso a contenido protegido en documentos oficiales.
• Como medio para generar contraseñas de un solo uso o códigos cifrados para acceder a determinados servicios (por ejemplo, el código QR que se usa para poder acceder a WhatsApp Web).
• Como entradas o billetes para acceder a medios de transporte, zonas vips o zonas de ocio.
• Para hacer el seguimiento de productos en el sector del transporte y la logística.
• En algunos países se han empezado a usar como método de pago con el móvil.

Principales peligros de los códigos QR maliciosos

Aunque los códigos QR online o impresos son bastante seguros, lo cierto es que también pueden usarse como un medio para distribuir diferentes tipos de malware en móviles o aprovechar exploits del sistema operativo o alguna aplicación.

En general, los ciberdelincuentes aprovechan muchas veces la confianza de los usuarios en los códigos QR, ya que cada vez están más acostumbrados a escanearlos, para llevar a cabo sus ataques, puesto que muy pocos usuarios son capaces de diferenciar entre un código QR lícito y un QR malicioso.

Así, los principales peligros de los códigos QR son los siguientes:

QR maliciosos

A través de la creación de un código QR malicioso, se puede dirigir a los usuarios a una web fraudulenta para llevar a cabo la siguiente fase del ataque.

Ataques como, por ejemplo, añadir una lista de contactos en el teléfono para llevar a cabo un ataque de spear phishing, enviar mensajes o correos electrónicos desde el móvil, etc.

Qrishing

El Qrishing es un ataque tipo phishing que conjuga la ingeniería social con el escaneo de un código QR para llevar a los usuarios a una web falsa, que suplanta una web oficial, donde se le pedirá al usuario que facilite alguna de sus credenciales, para así poder robarlas.

Si la copia de la web suplantada está bien hecha, salvo que el usuario se detenga a mirar la URL, es muy posible que acabe cayendo en la trampa.

Descarga de malware

Los códigos QR también se pueden usar para conducir a los usuarios a una web de descarga de malware o de inyección de código malicioso. Para esta técnica se suelen aprovechar vulnerabilidades o llevar a cabo un ataque drive by download; una descarga forzada de malware al visitar un sitio web.

Una vez descargado el malware en el dispositivo, este puede aprovechar vulnerabilidades para llevar a cabo otras acciones como, por ejemplo, sustraer información confidencial, activar y usar las cámaras o micrófono del dispositivo, unirlo a una botnet, suscribir al usuario a un servicio premium, etc.

Qrljacking

El Qrjacking es el secuestro de sesión, es decir, se usa el código QR para, junto a técnicas de ingeniería social, secuestrar la cuenta de un servicio que utilice la función de iniciar sesión con código QR.

Para que este ataque tenga éxito, es necesario engañar al usuario para que escanee un código QR malicioso que suplanta al original. Cuando el usuario lo escanea, el cibercriminal se hace con las credenciales de inicio de sesión de este, con lo que gana acceso a dicha cuenta, pudiendo hacerse con el control de la misma.

Rastreo

Los códigos QR maliciosos también pueden usarse para rastrear las acciones del usuario cuando navega por Internet e, incluso, revelar su localización física.

Añadir una red WiFi comprometida

Un código QR comprometido puede añadir una red WiFi maliciosa como una de confianza a la lista de redes inalámbricas del móvil, haciendo que el usuario se conecte a ella pensando que es segura y dejando así acceso a su dispositivo y sus cuentas a los cibercriminales.

¿Son peligrosos los códigos QR para la seguridad de nuestros clientes?

Los códigos QR maliciosos pueden llegar a ser peligrosos para la seguridad de nuestros clientes, especialmente si no nos preocupamos de comprobar que estos conducen a donde supuestamente deben conducir, es decir, la página web de nuestro negocio.

Hay que tener en cuenta que el uso de códigos QR por motivo del Covid se incrementó durante un tiempo, haciendo que los usuarios se hayan acostumbrado más a escanearlos, por ejemplo, para acceder a la carta de un restaurante o la información de un museo. Esto tiene como contrapartida que los usuarios pocas veces desconfían del código QR que encuentran en estos sitios. Y los cibercriminales lo saben.

Por ello, es importante que comprobemos la seguridad de cada código QR que creemos para nuestro negocio de forma regular y evitar así que nuestros clientes puedan acabar convirtiéndose en víctimas de los cibercriminales.

¿Cómo se hackea un código QR?

Hackear un código QR no es fácil y exige tener habilidades concretas para poder hacer cambios en los puntos pixelados en la matriz del código, esto hace que los cibercriminales usen otras técnicas más sencillas (aunque no debéis descartar completamente el hackeo del código QR).

Para ello, lo que hacen es recurrir a herramientas que les permiten incrustar malware en el código QR o generar directamente códigos QR maliciosos y tratar de suplantar con ellos los códigos QR lícitos.

¿Cómo saber cuándo un QR es falso o es un QR malicioso?

Lo cierto es que a simple vista, no se puede saber si estamos ante un QR falso o un QR malicioso, por lo que lo único que nos queda es tener precaución a la hora de escanearlo y comprobar si al sitio al que nos lleva es el sitio auténtico o uno fraudulento. También deberemos comprobar si tras escanearlo, se ha descargado alguna aplicación o si esa app que hemos descargado es legítima.

Cómo proteger los códigos QR para no poner en riesgo la seguridad de los clientes

Aunque los peligros de los códigos QR son una realidad y es muy probable que los ataques a través de ellos se incrementen, hay formas de proteger a nuestros clientes de ellos:

• Como ya dijimos, comprobar regularmente que el código QR conduce a donde debe conducir y no a una web falsa.
• Utilizar un generador de códigos QR que ofrezca garantías y confianza en materia de seguridad.
• Comprobar que el código QR no ha sido modificado.

En cuanto a los usuarios, basta con tomar algunas precauciones:

• No escanear códigos QR de dudosa procedencia.
• Utilizar aplicaciones de escaneo que permitan ver la URL antes de abrirla o habilitar la opción si cuenta con ella la app de escaneo que tenemos instalada.
• Si hemos accedido a la web, comprobar la URL antes de introducir ninguna credencial en ella.