La ciberseguridad es una preocupación crítica para cualquier organización, pero a menudo nos centramos en amenazas más 'grandes' como el ransomware y las violaciones de datos. Sin embargo, ¿alguna vez se ha detenido a pensar en los riesgos asociados con algo tan simple como los códigos QR?. Este artículo tiene como objetivo brindar una mirada en profundidad sobre cómo un simple código QR podría poner en peligro la integridad de toda su infraestructura de TI.
¿Qué es un Código QR?
Un código QR (Quick Response Code) es un tipo de código de barras bidimensional que se puede leer utilizando un smartphone. Se ha convertido en una forma rápida y conveniente de acceder a información o servicios, desde menús de restaurantes hasta autenticación de dos factores.
La Simplicidad es un Arma de Doble Filo
La simplicidad y eficiencia de los códigos QR son precisamente lo que los convierte en una herramienta efectiva para los ciberdelincuentes. Al igual que un enlace URL malicioso en un correo electrónico, un código QR puede redirigir a los usuarios a una página de phishing, descargar malware o acceder a recursos restringidos sin el conocimiento del usuario.
Te podría interesar leer: Detecta si estás en un Sitio Web Pirateado
Ataques Comunes y Cómo Se Manifiestan
- Phishing QR: Los atacantes pueden colocar códigos QR falsos en lugares públicos o en páginas web. Al escanearlos, los usuarios pueden ser redirigidos a sitios web que parecen legítimos pero que en realidad buscan robar credenciales o instalar malware.
- Malware y Ransomware: Al escanear un código QR, los usuarios pueden ser inducidos a descargar aplicaciones o software que contienen malware. Una vez que se instala el malware, los ciberdelincuentes pueden acceder a los recursos de la red, robar datos o incluso bloquear sistemas, solicitando un rescate para su liberación.
- Acceso No Autorizado: Un código QR puede contener credenciales de acceso incorporadas que, cuando se escanean, brindan acceso a sistemas o redes protegidas. Esto es particularmente peligroso si se considera que muchos trabajadores pueden escanear códigos QR como parte de sus tareas diarias.
Te podría interesar leer: Una Guía para Proteger Tu Empresa Contra el Ransomware
Ejemplo de Phishing QR
En este artículo, ilustramos con un caso impactante cómo esos cuadrados que parecen inofensivos —los códigos QR— pueden convertirse en una herramienta para estafadores. El relato que compartiremos es el de una persona que sufrió la pérdida de 20,000 dólares simplemente por escanear un código QR al realizar una aparentemente inocente compra de té de burbujas. Este ejemplo servirá como una advertencia vívida, y también como una guía sobre cómo evitar convertirse en víctima de fraudes similares.
Muchas personas han visto ofertas en cafés donde se invita a los clientes a completar una pequeña encuesta a cambio de una bebida gratuita o un descuento en su próxima compra. Generalmente, esto implica escanear un código QR que está situado en el mostrador, algo que se ha convertido en una acción cotidiana para muchos. ¿Cuál podría ser el riesgo?
Eso es seguramente lo que pasó por la mente de un ciudadano de Singapur de 60 años. Buscando aprovechar una oferta de té de burbujas gratuito, escaneó un código QR adherido al cristal de la puerta del café. Más tarde se reveló que esta simple etiqueta había sido colocada por ciberdelincuentes. El código en cuestión redirigía a la descarga de una aplicación de Android de terceros que supuestamente era para completar la encuesta. Sin embargo, la realidad era muy diferente.
Una vez descargada, la aplicación solicitó permisos para acceder a la cámara y al micrófono del dispositivo, además de pedir la activación de los Servicios de Accesibilidad de Android. Este conjunto de características de Android permite a los malhechores no solo visualizar sino también controlar la pantalla del usuario. Pero no termina ahí: los servicios de accesibilidad también les daban la capacidad de deshabilitar las funcionalidades de reconocimiento facial y de huellas dactilares del dispositivo. Esto facilitó a los ciberdelincuentes forzar a la víctima a introducir manualmente la contraseña de su aplicación bancaria cuando fuese necesario. Solo tuvieron que esperar a que ella iniciara sesión en su banco para interceptar sus credenciales y, acto seguido, transferir todo su dinero a cuentas controladas por ellos.
Estrategias de Mitigación: Consejos para Gerentes de TI y CTOs
Si bien sería poco práctico y excesivo evitar completamente el escaneo de códigos QR, ofrecemos las siguientes recomendaciones para mantenerse seguro:
- La primera línea de defensa siempre es la educación. Capacita a tus trabajadores para que sean cautelosos al escanear códigos QR, especialmente aquellos que no provienen de fuentes confiables.
- Utiliza software de seguridad robusto que pueda escanear y verificar códigos QR antes de que se procesen. Algunos paquetes de software de seguridad de nivel empresarial ya incluyen esta funcionalidad.
- Establezca políticas claras sobre cuándo y cómo se deben utilizar los códigos QR en el entorno laboral. Restrinja el uso a ciertas aplicaciones o sitios web autorizados.
- Realice un monitoreo constante de la red para detectar actividad inusual, especialmente si se han escaneado códigos QR. Esto le permitirá responder rápidamente a cualquier amenaza potencial.
-
Inspeccione detenidamente las URL a las que redirigen los códigos QR, manteniéndose alerta a signos comunes de sitios fraudulentos o maliciosos.
-
Verifique que el contenido al que se accede a través del código QR sea coherente con lo que esperaba. Si, por ejemplo, el código se supone que lo lleva a una encuesta, debería encontrar un formulario con preguntas y opciones de respuesta. Si eso no ocurre, abandone la página de inmediato. Aún si la página parece legítima, mantenga la guardia alta; podríamos estar ante una falsificación de alta calidad (consulte el primer punto y revise nuestras pautas sobre cómo identificar sitios web falsos).
-
Evite descargar aplicaciones mediante el uso de códigos QR. Como norma general, recurra siempre a plataformas oficiales como Google Play o la App Store para instalar aplicaciones. No confíe en aplicaciones de fuentes no verificadas.
-
Salvaguarde sus dispositivos con una solución de seguridad robusta. Utilice un escáner QR incorporado en su software de seguridad que le permita inspeccionar las URL escondidas tras esos patrones de cuadros. Además, una buena solución de seguridad puede evitar que visite sitios malintencionados y lo protegerá contra una amplia gama de otras amenazas en línea.
Si bien los códigos QR son herramientas útiles y convenientes, también pueden ser una amenaza subestimada para la ciberseguridad de tu organización. No subestimes el poder de este código bidimensional para desencadenar un ataque sofisticado contra su infraestructura de TI. Toma medidas proactivas para educar a tu equipo y poner en práctica políticas y herramientas que minimicen el riesgo.
No dejes que la conveniencia de los códigos QR se convierta en tu talón de Aquiles en ciberseguridad. El phishing a través de estos códigos es más común de lo que piensas y las consecuencias pueden ser devastadoras. Con TecnetOne y nuestro Soc as a Service, te ofrecemos una capa adicional de protección que identifica y neutraliza estas amenazas antes de que lleguen a tí.