Las tecnologías han experimentado un mayor auge durante la pandemia, y entre ellas los códigos QR. Con la necesidad de evitar los documentos en papel se buscaron alternativas para reducir el riesgo de contagio de la covid-19, y ahí fue cuando se disparó el uso de esta herramienta. Los ciberataques de códigos QR se refieren a las técnicas utilizadas por los ciberdelincuentes para explotar o engañar a los usuarios a través de códigos QR maliciosos. Los códigos QR permiten leer desde el móvil la carta de un restaurante o un programa cultural sin necesidad de pasarlo de mano en mano. Pero el éxito de estos códigos ha llamado también la atención de los ciberdelincuentes. Las autoridades han detectado en los últimos meses un aumento de los intentos de fraude y robo de datos a través de los códigos QR.

¿Cómo nos roban la información a través de los códigos QR?

Una de las estrategias que llevan a cabo los ciberdelincuentes para robar la información de los usuarios a través de los códigos QR es pegando un código QR malicioso encima de uno real en museos, restaurantes, anuncios, etc. El principal problema de este tipo de fraude es, que al escanear el código con el móvil, el usuario no ve cuál es la URL o dirección web a la que accede, ya que entra en ella directamente. El usuario debe sospechar cuando el enlace le lleva a un sitio de descarga, cuando el archivo que se descarga en su teléfono no es un PDF o un documento de Word, y sobre todo, cuando lleva a archivos ejecutables en el teléfono.

¿Qué riesgos tienen los ciberataques mediante códigos QR?

Uno de los principales riesgos que tienen los ciberataques mediante códigos QR es la capacidad de los ciberatacantes para añadir en tu dispositivo móvil una nueva lista de contactos, iniciar llamadas, enviar mensajes, realizar pagos e incluso descargar softwares infectados.

¿Cómo evitar riesgos de ciberataques por códigos QR?

Es imprescindible que los usuarios implementen una serie de medidas de seguridad para evitar futuros riesgos de ciberataques por códigos QR, como:

• Promover la concienciación sobre temas de seguridad dentro de la empresa.
• Utilizar una aplicación de lectura de códigos QR con funciones de seguridad incorporadas.
• Implementar la autenticación de dos factores en lugar del acceso con contraseña a las aplicaciones y recursos en la nube.
• Revisar la URL a la que ha redirigido el código tras el escaneo. Y en la medida de lo posible, buscarlo directamente en la web.

Ejemplos reales de ciberataques a través de los códigos QR

Es importante recordar que los ciberdelincuentes pueden adaptar sus tácticas y técnicas constantemente, por lo que es fundamental estar atento y seguir buenas prácticas de seguridad al interactuar con códigos QR desconocidos o sospechosos.

A continuación, algunos ejemplos reales de ciberataques que han utilizado códigos QR de manera maliciosa son:

• Códigos QR maliciosos en anuncios impresos: En 2017, se informó sobre un caso en el que los ciberdelincuentes habían modificado códigos QR en anuncios publicitarios en una ciudad de Rusia. Al escanear los códigos QR, los usuarios eran redirigidos a sitios web que contenían malware diseñado para robar información personal y financiera.
• Códigos QR envenenados en eventos: Los ciberdelincuentes han aprovechado eventos y conferencias para distribuir códigos QR maliciosos. En 2019, se informó sobre un caso en el que se distribuyeron códigos QR falsos en una conferencia de ciberseguridad en Australia. Los códigos QR redirigían a los usuarios a sitios web falsos que solicitaban información de inicio de sesión.
• Códigos QR fraudulentos en productos: En 2015, se descubrió un caso en el que los ciberdelincuentes habían reemplazado los códigos QR auténticos en productos en un supermercado con códigos QR falsos. Los códigos QR falsos redirigían a los usuarios a sitios web de phishing que solicitaban información personal y financiera.
• Códigos QR en ataques de phishing móvil: En 2020, se informó sobre un caso en el que los ciberdelincuentes habían enviado mensajes de texto a dispositivos móviles con códigos QR maliciosos. Al escanear los códigos QR, los usuarios eran redirigidos a sitios web de phishing que imitaban a instituciones financieras legítimas, con el objetivo de robar credenciales de inicio de sesión.

¿Cómo protegernos de los ciberataques de los códigos QR?

Para protegerte de los ciberataques a través de códigos QR, aquí tienes algunas medidas de seguridad que puedes seguir:

• Verifica la fuente: Antes de escanear un código QR, asegúrate de que provenga de una fuente confiable y legítima. Evita escanear códigos QR encontrados en lugares públicos o desconocidos, ya que podrían ser manipulados por ciberdelincuentes.
• Examina el código QR: Observa el código QR detenidamente antes de escanearlo. Si parece dañado, manipulado o de baja calidad, evita escanearlo, ya que podría ser un indicio de que algo no está bien.
• Utiliza un escáner de códigos QR seguro: Asegúrate de utilizar una aplicación o escáner de códigos QR confiable y actualizada en tu dispositivo móvil. Algunas aplicaciones de escaneo de códigos QR tienen funciones de seguridad incorporadas que pueden analizar el código QR en busca de posibles amenazas.
• Mantén tu dispositivo actualizado: Mantén tu dispositivo móvil y las aplicaciones relacionadas actualizadas con las últimas versiones y parches de seguridad. Las actualizaciones suelen contener correcciones de vulnerabilidades conocidas y brindan protección adicional contra posibles ataques.
• Sé cauteloso con los enlaces y descargas: Antes de hacer clic en un enlace o descargar una aplicación relacionada con un código QR, asegúrate de verificar su autenticidad. Evita escanear códigos QR que prometen descargas de aplicaciones o archivos desconocidos.
• Desconfía de solicitudes de información personal: Si un código QR te lleva a un formulario o página web que solicita información personal o financiera sensible, sé cauteloso. Asegúrate de que el sitio web sea legítimo y confiable antes de proporcionar cualquier dato sensible.
• Usa autenticación de dos factores: Habilita la autenticación de dos factores (2FA) en tus cuentas siempre que sea posible. Esto proporciona una capa adicional de seguridad al requerir una segunda forma de verificación, como un código enviado a tu dispositivo móvil, además de las credenciales de inicio de sesión.
• Mantén la conciencia de seguridad: Educa a ti mismo y a los demás sobre las posibles amenazas asociadas con los códigos QR maliciosos. Fomenta prácticas de seguridad cibernética, como la verificación de la fuente y la adopción de medidas de precaución al interactuar con códigos QR.

El Bachelor Degree in Cyber Security & Hacking de MSMK University te proporciona las competencias y habilidades necesarias para hacer frente a Malware, Botnets IoT y DDoS de dispositivos IoT, Ransomware y otros tipos de ciberataques y fraudes producidos fundamentalmente en entornos multi-Cloud.