Códigos QR: Una furtiva amenaza a la seguridad

Brian Foster

Los códigos QR están por todas partes, sin duda. Desde que la industria automotriz japonesa los utilizó por primera vez para agilizar los procesos de fabricación, las empresas de todo el mundo han aprovechado sus beneficios: son baratos de desplegar y se pueden aplicar a casi cualquier ámbito.

De hecho, todas las industrias y organizaciones, desde la venta al por menor hasta la sanidad, los aplican como una forma rápida y sencilla de vincular clientes, usuarios y consumidores a sitios web, campañas promocionales, descuentos en tiendas, historiales médicos o pagos por móvil, entre otras muchas.

Los códigos QR no sólo son económicos y fáciles de usar. También son esenciales, especialmente durante la pandemia cuando las transacciones sin contacto se han convertido en la norma. Es más, al menos el 81% de los estadounidenses disponen en la actualidad de un teléfono inteligente, y casi todos esos dispositivos pueden leer de forma nativa los códigos QR sin necesidad de una aplicación de terceros. Por lo tanto, puede concluirse que los códigos QR están teniendo su momento.

Lo que los números dicen (pista: nada bueno)

Mi compañía, MobileIron, quería entender mejor las tendencias actuales de los códigos QR, así que en septiembre realizamos una encuesta a más de 2.100 consumidores de Reino Unido y Estados Unidos, constatando que en los últimos seis meses, más de un tercio de los usuarios de móviles escaneó un código QR en un restaurante, bar, tienda o en un producto de consumo.

Los resultados también pusieron de relieve algunas tendencias alarmantes: los usuarios de móviles no entienden realmente los riesgos potenciales de los códigos QR, y casi tres cuartos (71%) no pueden diferenciar entre un código QR legítimo de uno malicioso.

Al mismo tiempo, más de la mitad (51%) de los encuestados reconocen que no tienen (o no saben si tienen) seguridad móvil en sus dispositivos.

Como tantas cosas que parecen formar parte de nuestras vidas desde siempre, no pensamos mucho en estos códigos: los dispositivos móviles nos condicionan a realizar acciones rápidas -pase, toque, haga clic, pague- mientras nos distraemos con otras cosas como el trabajo, las compras, la comida (y, lamentablemente, sí, la conducción).

Este es exactamente el tipo de confianza implícita y acción irreflexiva en la que prosperan los hackers. Y es por eso que, si los empleados móviles están usando sus dispositivos personales para acceder a aplicaciones empresariales y escanear códigos QR potencialmente peligrosos, el departamento de TI de la empresa debería empezar a examinar más de cerca su modelo de seguridad móvil.

¿Y cuáles son exactamente los riesgos?

Hackear un código QR real requeriría algunas habilidades serias para hacer cambios alrededor de los puntos pixelados en la matriz del código. Los ciberdelincuentes han descubierto un método mucho más fácil en su lugar: incrustar software malicioso en los QR (que pueden ser generados por herramientas gratuitas, disponibles en Internet).

Para el usuario medio, todos los QR parecen iguales, pero uno malicioso puede llevarte a un sitio web falso. También puede capturar datos personales o instalar software malicioso en un teléfono inteligente y que este inicie acciones como:

• Añadir una nueva lista de contactos en el teléfono del usuario y utilizarla para lanzar un spear phishing u otro ataque personalizado.
• Realizar llamadas telefónicas exponiendo el número de teléfono a actividades que desconoce el propietario del dispositivo.
• Enviar mensajes de texto: Además de enviar un mensaje de texto a un destinatario malintencionado, los contactos de un usuario también podrían recibir el texto malintencionado de un estafador.
• Mansajes de correo electrónico: De manera similar al los SMS de texto malicioso, un QR con malware puede redactar un correo electrónico, completando las líneas de destinatario, asunto y cuerpo del mensaje y dirigirlo a la dirección de email del trabajo del usuario, si el dispositivo carece de protección contra amenazas móviles.
• Realizar un pago: Un QR malicioso, podría llevar a cabo un pago de forma automatiazada, o facilitar a un cibedelincuente hacerlo, capturando datos financieros y personales del usuario.
• Revelar la ubicación: El software malicioso puede rastrear la geolocalización del usuario y enviar estos datos a una aplicación o sitio web.
• Seguir de los medios sociales: Las cuentas de los medios sociales del usuario pueden ser dirigidas a seguir una cuenta maliciosa, que puede entonces exponer la información personal y los contactos del usuario.
• Añadir una red Wi-Fi preferida: Una red comprometida puede añadirse a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red.

Cosas fáciles para minimizar los riesgos

Por muy aterradoras que parezcan estas hazañas, no son inevitables. Educar a los usuarios sobre los riesgos de los códigos QR es un buen primer paso, pero las empresas también deben intensificar su juego de seguridad móvil para protegerse contra amenazas como el spear phishing y la adquisición de dispositivos.

Lo qué se pueden hacer

Primero, echar un vistazo: Asegúrse de que el QR es legítimo, especialmente los códigos impresos, que pueden ser pegados con un código diferente (y potencialmente malicioso).

Escanear sólo códigos de entidades de confianza: Los usuarios de móviles deben atenerse a códigos QR que provienen de remitentes de confianza. Presta atención a líneas rojas, como una dirección web que difiere de la URL de la empresa: hay una buena posibilidad de que se enlace a un sitio malicioso.

Tenga cuidado con los enlaces bit.ly: Compruebe la URL de un enlace bit.ly que aparece después de escanear un código QR. Estos enlaces suelen utilizarse para disfrazar URL maliciosas, pero se pueden previsualizar de forma segura añadiendo un símbolo de más ("+") al final de la URL.

Lo que pueden hacer las empresas

Es de esperar que su empresa utilice una solución de defensa contra amenazas móviles en el dispositivo que pueda proteger contra los ataques de phishing, la adquisición de dispositivos, ataques de intermediarios y las descargas de aplicaciones maliciosas(si no, ¡comience a buscar una ahora!).

Necesita asegurarse de que está implementada en cada dispositivo que acceda a las aplicaciones y datos de la empresa, porque la seguridad de la empresa sólo es tan buena como su eslabón más débil.

Por último, eduque a los usuarios sobre lo que protege (y también sobre lo que no protege).

Si no se hace nada más, ahora es el momento de considerar la eliminación del acceso a las aplicaciones de negocio y de la nube basado en contraseñas, que hoy en día es una de las principales causas de la violación de datos. Al pasar a la autenticación multifactorial sin contraseñas, no sólo se elimina la amenaza de las contraseñas robadas sino también el engorro de mantenerlas, lo que hace que todo el mundo (excepto los hackers) esté mucho más tranquilo y sea más productivo.

(*) Brian Foster es vicepresidente de Gestión de Productos de MobileIron