|

Códigos QR: Una furtiva amenaza a la seguridad

Brian Foster, Vicepresidente de Gestión de Productos de MobileironSi parece que los códigos QR han aparecido por todas partes estos días, tienes razón. Desde que la industria automotriz japonesa los utilizó por primera vez para agilizar los procesos de fabricación, las empresas de todo el mundo han aprovechado los beneficios de los códigos QR. Son baratos de desplegar y se pueden aplicar a casi cualquier cosa, por lo que todas las industrias, desde la venta al por menor hasta la sanidad, los utilizan ahora como una forma rápida y fácil de vincular a la gente a sitios web, campañas promocionales, descuentos en tiendas, historiales médicos de pacientes, pagos por móvil y mucho más.

Los códigos QR no sólo son económicos y fáciles de usar. También son esenciales, especialmente durante una pandemia donde las transacciones sin contacto se han convertido en la norma. Es más, al menos el 81 por ciento de los estadounidenses disponen en la actualidad de un teléfono inteligente, y casi todos esos dispositivos pueden leer de forma nativa los códigos QR sin necesidad de una aplicación de terceros. Por lo tanto, los códigos QR están claramente teniendo su momento.

Lo que los números dicen (pista: nada bueno)

Mi compañía, MobileIron, quería entender mejor las tendencias actuales de los códigos QR, así que en septiembre realizamos una encuesta a más de 2.100 consumidores en todo el Reino Unido y los Estados Unidos. Por ejemplo, en los últimos seis meses, más de un tercio de los usuarios de móviles escaneó un código QR en un restaurante, bar, tienda o en un producto de consumo.

Los resultados también pusieron de relieve algunas tendencias alarmantes: Los usuarios de móviles no entienden realmente los riesgos potenciales de los códigos QR, y casi tres cuartos (71 por ciento) de los encuestados no pueden diferenciar entre un código QR legítimo y uno malicioso. Al mismo tiempo, más de la mitad (51 por ciento) de los usuarios encuestados no tienen (o no saben si tienen) seguridad móvil en sus dispositivos.

Como tantas cosas que parecen formar parte de nuestras vidas desde siempre, no pensamos mucho en los códigos QR. Los dispositivos móviles nos han condicionado a realizar acciones rápidas -pase, toque, haga clic, pague- mientras nos distraemos con otras cosas como el trabajo, las compras, la comida (y, lamentablemente, sí, la conducción).

Este es exactamente el tipo de confianza implícita y acción irreflexiva en la que prosperan los hackers. Y es por eso que, si los empleados móviles están usando sus dispositivos personales para acceder a aplicaciones empresariales y escanear códigos QR potencialmente peligrosos, el departamento de TI de la empresa debería empezar a examinar más de cerca su modelo de seguridad móvil.

¿Y cuáles son exactamente los riesgos de los códigos QR?

Hackear un código QR real requeriría algunas habilidades serias para hacer cambios alrededor de los puntos pixelados en la matriz del código. Los hackers han descubierto un método mucho más fácil en su lugar. Esto implica incrustar software malicioso en los códigos QR (que pueden ser generados por herramientas gratuitas ampliamente disponibles en Internet). Para un usuario medio, todos estos códigos parecen iguales, pero un código QR malicioso puede dirigir a un usuario a un sitio web falso. También puede capturar datos personales o instalar software malicioso en un teléfono inteligente que inicie acciones como ésta:

  • Añadir una lista de contactos: Los hackers pueden añadir una nueva lista de contactos en el teléfono del usuario y utilizarla para lanzar un spear phishing u otro ataque personalizado.
  • Iniciar una llamada telefónica: Al activar una llamada al estafador, este tipo de explotación puede exponer el número de teléfono a un mal actor.
  • Enviar un mensaje de texto: Además de enviar un mensaje de texto a un destinatario malintencionado, los contactos de un usuario también podrían recibir el texto malintencionado de un estafador.
  • Escribir un correo electrónico: De manera similar a un texto malicioso, un hacker puede redactar un correo electrónico y poblar las líneas del destinatario y del asunto. Los hackers podrían dirigirse al correo electrónico de trabajo del usuario si el dispositivo carece de protección contra amenazas móviles.
  • Realizar un pago: Si el código QR es malicioso, podría permitir a los hackers enviar automáticamente un pago y capturar los datos financieros personales del usuario.
  • Revelar la ubicación del usuario: El software malicioso puede rastrear silenciosamente la geolocalización del usuario y enviar estos datos a una aplicación o sitio web.
  • Seguir las cuentas de los medios sociales: Las cuentas de los medios sociales del usuario pueden ser dirigidas a seguir una cuenta maliciosa, que puede entonces exponer la información personal y los contactos del usuario.
  • Añadir una red Wi-Fi preferida: Una red comprometida puede añadirse a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red.

Cosas fáciles que todos podemos hacer para minimizar los riesgos

Por muy aterradoras que sean estas hazañas, no son inevitables. Educar a los usuarios sobre los riesgos de los códigos QR es un buen primer paso, pero las empresas también deben intensificar su juego de seguridad móvil para protegerse contra amenazas como el spear phishing y la adquisición de dispositivos.

Qué pueden hacer los usuarios

Primero, echa un buen vistazo: Asegúrate de que el código QR es legítimo, especialmente los códigos impresos, que pueden ser pegados con un código diferente (y potencialmente malicioso).

Escanea sólo los códigos de entidades de confianza: Los usuarios de móviles deben atenerse a los códigos QR que provienen de remitentes de confianza. Presta atención a las banderas rojas como una dirección web que difiere de la URL de la empresa: hay una buena posibilidad de que se enlace a un sitio malicioso.

Tenga cuidado con los enlaces bit.ly: Compruebe la URL de un enlace bit.ly que aparece después de escanear un código QR. Estos enlaces suelen utilizarse para disfrazar URL maliciosas, pero se pueden previsualizar de forma segura añadiendo un símbolo de más («+») al final de la URL.

Lo que pueden hacer las empresas

Es de esperar que su empresa utilice una solución de defensa contra amenazas móviles en el dispositivo que pueda proteger contra los ataques de phishing, la adquisición de dispositivos, ataques de intermediarios y las descargas de aplicaciones maliciosas(si no, ¡comience a buscar una ahora!). Necesita asegurarse de que está implementada en cada dispositivo que acceda a las aplicaciones y datos de la empresa, porque la seguridad de la empresa sólo es tan buena como su eslabón más débil.

Por último, eduque a los usuarios sobre lo que protege (y también sobre lo que no protege).

Si no se hace nada más, ahora es el momento de considerar la eliminación del acceso a las aplicaciones de negocio y de la nube basado en contraseñas, que hoy en día, es una de las principales causas de la violación de datos. Al pasar a la autenticación multifactorial sin contraseñas, no sólo se elimina la amenaza de las contraseñas robadas sino también el engorro de mantenerlas, lo que hace que todo el mundo (excepto los hackers) esté mucho más tranquilo y sea más productivo.

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.