¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Los peligros de los códigos QR ¿son un riesgo para la seguridad?

5 Mins read

Aunque los códigos QR llevan entre nosotros unos cuantos años ya, la pandemia ha hecho que su uso se extienda mucho más para evitar el contacto con determinados objetos que pasan por las manos de muchas personas. Sin embargo, los códigos QR no están exentos de ser usados con intenciones maliciosas, como vamos a ver en este artículo sobre los peligros de los códigos QR.

¿Qué son los códigos QR?

Antes de hablar de los peligros que puede entrañar el escaneo de un código QR, empecemos explicando brevemente qué son los códigos QR.

Los códigos QR son códigos de respuesta rápida (quick response en inglés), capaces de almacenar una gran cantidad de información. Están compuestos por módulos en dos dimensiones formados por puntos diferenciados entre sí por colores en un alto contraste.

Estos códigos se pueden escanear con un smartphone para acceder a la información que contienen. Actualmente, la mayoría, por no decir todos los smartphones cuentan con una aplicación de escáner QR integrada, por lo que ya ni siquiera es necesario descargar una.

Los códigos QR se generan a través de un software de creación de este tipo de códigos y están estandarizados por la Norma ISO/IEC 18004:2015.

¿Para qué se usan los códigos QR?

Los códigos QR sirven para diferentes funciones, aunque la principal y más conocida por los usuarios es la de poder acceder a contenidos en Internet a través de ellos, pero otros usos son:

  • Información de acceso a una red WiFi (nombre de la red, contraseña y tipo de cifrado de información empleado).
  • Acceso a descarga de aplicaciones en tiendas oficiales o páginas oficiales.
  • Acceso a contenido protegido en documentos oficiales.
  • Como medio para generar contraseñas de un solo uso o códigos cifrados para acceder a determinados servicios (por ejemplo, el código QR que se usa para poder acceder a WhatsApp Web).
  • Como entradas o billetes para acceder a medios de transporte, zonas vips o zonas de ocio.
  • Para hacer el seguimiento de productos en el sector del transporte y la logística.
  • En algunos países se han empezado a usar como método de pago con el móvil.

Principales peligros de los códigos QR

Aunque los códigos QR online o impresos son bastante seguros, lo cierto es que también pueden usarse como un medio para distribuir diferentes tipos de malware en móviles o aprovechar exploits del sistema operativo o alguna aplicación.

En general, los ciberdelincuentes aprovechan muchas veces la confianza de los usuarios en los códigos QR, ya que cada vez están más acostumbrados a escanearlos, para llevar a cabo sus ataques, puesto que muy pocos usuarios son capaces de diferenciar entre un código QR lícito y otro malicioso.

Así, los principales peligros de los códigos QR son los siguientes:

QR maliciosos

A través de la creación de un código QR malicioso, se puede dirigir a los usuarios a una web fraudulenta para llevar a cabo la siguiente fase del ataque.

Ataques como, por ejemplo, añadir una lista de contactos en el teléfono para llevar a cabo un ataque de spear phishing, enviar mensajes o correos electrónicos desde el móvil, etc.

Qrishing

El Qrishing es un ataque tipo phishing que conjuga la ingeniería social con el escaneo de un código QR para llevar a los usuarios a una web falsa, que suplanta una web oficial, donde se le pedirá al usuario que facilite alguna de sus credenciales, para así poder robarlas.

Si la copia de la web suplantada está bien hecha, salvo que el usuario se detenga a mirar la URL, es muy posible que acabe cayendo en la trampa.

Descarga de malware

Los códigos QR también se pueden usar para conducir a los usuarios a una web de descarga de malware o de inyección de código malicioso. Para esta técnica se suelen aprovechar vulnerabilidades o llevar a cabo un ataque drive by download; una descarga forzada de malware al visitar un sitio web.

Una vez descargado el malware en el dispositivo, este puede aprovechar vulnerabilidades para llevar a cabo otras acciones como, por ejemplo, sustraer información confidencial, activar y usar las cámaras o micrófono del dispositivo, unirlo a una botnet, suscribir al usuario a un servicio premium, etc.

Qrljacking

El Qrjacking es el secuestro de sesión, es decir, se usa el código QR para, junto a técnicas de ingeniería social, secuestrar la cuenta de un servicio que utilice la función de iniciar sesión con código QR.

Para que este ataque tenga éxito, es necesario engañar al usuario para que escanee un código QR malicioso que suplanta al original. Cuando el usuario lo escanea, el cibercriminal se hace con las credenciales de inicio de sesión de este, con lo que gana acceso a dicha cuenta, pudiendo hacerse con el control de la misma.

Rastreo

Los códigos QR maliciosos también pueden usarse para rastrear las acciones del usuario cuando navega por Internet e, incluso, revelar su localización física.

Añadir una red WiFi comprometida

Un código QR comprometido puede añadir una red WiFi maliciosa como una de confianza a la lista de redes inalámbricas del móvil, haciendo que el usuario se conecte a ella pensando que es segura y dejando así acceso a su dispositivo y sus cuentas a los cibercriminales.

códigos qr peligrosos

¿Son peligrosos los códigos QR para la seguridad de nuestros clientes?

Los códigos QR pueden llegar a ser peligrosos para la seguridad de nuestros clientes, especialmente si no nos preocupamos de comprobar que estos conducen a donde supuestamente deben conducir, es decir, la página web de nuestro negocio.

Hay que tener en cuenta que el uso de códigos QR por motivo del Covid se ha incrementado, haciendo que los usuarios se hayan acostumbrado más a escanearlos, por ejemplo, para acceder a la carta de un restaurante o la información de un museo. Esto tiene como contrapartida que los usuarios pocas veces desconfían del código QR que encuentran en estos sitios. Y los cibercriminales lo saben.

Por ello, es importante que comprobemos la seguridad de cada código QR que creemos para nuestro negocio de forma regular y evitar así que nuestros clientes puedan acabar convirtiéndose en víctimas de los cibercriminales.

¿Cómo se hackea un código QR?

Hackear un código QR no es fácil y exige tener habilidades concretas para poder hacer cambios en los puntos pixelados en la matriz del código, esto hace que los cibercriminales usen otras técnicas más sencillas (aunque no debéis descartar completamente el hackeo del código QR).

Para ello, lo que hacen es recurrir a herramientas que les permiten incrustar malware en el código QR o generar directamente códigos QR maliciosos y tratar de suplantar con ellos los códigos QR lícitos.

Cómo proteger los códigos QR para no poner en riesgo la seguridad de los clientes

Aunque los peligros de los códigos QR son una realidad y es muy probable que los ataques a través de ellos se incrementen, hay formas de proteger a nuestros clientes de ellos:

  • Como ya dijimos, comprobar regularmente que el código QR conduce a donde debe conducir y no a una web falsa.
  • Utilizar un generador de códigos QR que ofrezca garantías y confianza en materia de seguridad.
  • Comprobar que el código QR no ha sido modificado.

En cuanto a los usuarios, basta con tomar algunas precauciones:

  • No escanear códigos QR de dudosa procedencia.
  • Utilizar aplicaciones de escaneo que permitan ver la URL antes de abrirla o habilitar la opción si cuenta con ella la app de escaneo que tenemos instalada.
  • Si hemos accedido a la web, comprobar la URL antes de introducir ninguna credencial en ella.

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
Ciberseguridad

El centro de operaciones de seguridad (SOC) ¿Cómo puede ayudar a tu empresa?

5 Mins read
Las amenazas de ciberseguridad que enfrentan las empresas son cada vez más sofisticadas y complejas, lo que provoca que la prevención de…
Ciberseguridad

Qué es un CISO y por qué se ha vuelto una figura importante para las empresas

6 Mins read
El aumento de los ciberataques a las empresas ha hecho que la figura del CISO cobre especial relevancia para estas, cada vez…
CiberseguridadTeletrabajo

Cómo mejorar la ciberseguridad en entornos de trabajo híbridos

7 Mins read
Los entornos de trabajos híbridos son prácticamente ya una realidad, en la que el trabajo remoto y presencial se combinan en la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.