Blog

Riesgos de seguridad al escanear códigos QR

Riesgos de seguridad al escanear códigos QR

El humilde código QR, ignorado en gran medida durante casi dos décadas, ha vuelto desde el inicio de la pandemia. Entre otras cosas, su uso evita que los usuarios mantengan contacto físico con elementos que pueden ser utilizados por más de una persona.

Un código QR, o Código de respuesta rápida, es un código de barras bidimensional que puede descifrarse mediante un lector utilizando la cámara del teléfono móvil.

Contiene más de 4.000 caracteres en un formato condensado legible por una máquina, y está diseñado como un método rápido para leer contenido estático o realizar una tarea específica

Los iPhones con iOS 11 o superior y algunos dispositivos Android vienen con un lector integrado. Si tienes un modelo anterior, necesitarás descargar una aplicación de terceros con la misma funcionalidad.

Son muy fáciles de crear, y de leer, incluso cuando están parcialmente dañados, y tienen una capacidad de almacenamiento mucho mayor en comparación con los códigos de barras estándar.

Los códigos QR son habituales en el mundo de la publicidad, y también se pueden utilizar para realizar pagos, para conectarse de forma automática a una red wifi, configurar la autenticación en dos factores en un dispositivo móvil, abrir una página web, descargar una aplicación etc.

La tecnología de código QR no acostumbra a tener fallos de seguridad. 

Una vez que un programa genera un código QR estático (a diferencia de un código QR dinámico que puede cambiar campos como una URL), ese código no se puede modificar para realizar otra función.

Los códigos QR dinámicos son un riesgo ya que datos almacenados en ellos se pueden cambiar una vez han sido generados

Los riesgos que a menudo asociamos con los códigos QR (privacidad, phishing, piratería informática o inyección de malware en los dispositivos) no se derivan directamente de la tecnología de códigos QR, sino del destino final de cada código.

Los villanos pueden imprimir carteles o folletos con códigos QR maliciosos y distribuirlos en lugares públicos. Estos códigos redirigirían a los usuarios que los escaneen a páginas de phishing, o a descargas de software malicioso.

Una vez que finaliza una campaña de marketing, es posible que los códigos QR originales sigan existiendo aunque la dirección de destino ya no sea propiedad del creador. Los delincuentes podrían comprar el dominio, y reutilizar el enlace del código QR para enviar a los usuarios a una página de destino diferente.

Podían imprimir pegatinas con códigos QR falsos y pegarlos sobre los legítimos. Estos códigos podrían llevar a los usuarios a sitios web de phishing en lugar de al sitio web original.

Siempre existe el riesgo de que un atacante encuentre un error en una aplicación de lectura de código que podría resultar en la explotación de la cámara del teléfono, o a la exfiltración de datos del dispositivo.

 Pueden usar URL abreviadas para llevar a un usuario a un sitio web desconocido, confundiéndole en cuanto al verdadero destino y posiblemente instalando malware en su teléfono.

Podrían revelar la ubicación del usuario: el  software malicioso puede rastrear silenciosamente la ubicación geográfica del usuario y enviar estos datos a una aplicación o sitio web.

Se pueden utilizar para agregar una red wifi comprometida a la lista de redes preferidas del dispositivo e incluir una credencial que conecta automáticamente el dispositivo a esa red.

Si el código QR es malicioso, podría permitir a los piratas informáticos enviar automáticamente un pago y capturar los datos financieros del usuario.

Los códigos QR también se pueden usar para descargar aplicaciones móviles falsas o maliciosas que pueden dañar o robar información de los dispositivos.

La verdad es que muchos de nosotros somos personas curiosas y podemos tener la tentación de escanear un código QR solo para ver qué contiene, y esta acción podría tener consecuencias nefastas, como inyectar malware en nuestros dispositivos.

¿Los códigos QR recopilan información personal?

La mayoría del software de generación de códigos QR recopila unos datos mínimos de los usuarios que escanean los códigos y nunca recopila información de identificación personal.

Los únicos datos que acostumbran a recopilar, y que solo son visibles para el creador del código, incluyen la ubicación (ciudad y país del usuario), número de escaneos (cuántas veces el usuario escaneó el código), hora (a qué hora escaneó el código) y el sistema operativo del dispositivo que escaneó el código (es decir, iPhone o Android).

Qué podemos hacer los usuarios

Lo primero es no escanear de forma compulsiva todo lo que se nos ponga por delante.

Utilizar únicamente una aplicación de lectura de QR con funciones de seguridad integradas, como por ejemplo Kaspersky QR Scanner que protege de códigos QR con enlaces peligrosos que pueden exponernos al malware o al phishing.

Algunas aplicaciones de lectura de QR son más seguras que otras, y pueden comparar el enlace insertado con una base de datos de enlaces maliciosos antes de que el usuario lo abra.

Hay que tener cuidado con los enlaces del tipo bit.ly: Estos enlaces se utilizan a menudo para disfrazar URL maliciosas, pero se pueden previsualizar agregando un símbolo más (+) al final de la URL.

Si alguna vez ves un código QR en una pared, en la pantalla del ordenador o incluso en una tarjeta de presentación, no lo escanees.

Un villano podría haber pegado fácilmente un código QR malicioso encima del legítimo.

En cualquier caso, las nuevas tecnologías nos facilitan la vida y ofrecen muchas posibilidades, y estando bien informados podemos hacer un uso seguro de ellas.

Temas:

Avisos de seguridad

Electronic Frontier Foundation

Air VPN

Sered Hosting

También te puede interesar

Algunas extensiones del navegador son amenazas para nuestra seguridad
peligros de OnlyFans
¿Es seguro utilizar Adobe Flash Player?
Qué es el clickbait y por qué deberías evitarlo
Comprueba gratis el secuestro de DNS