Blog

Riesgos de seguridad al escanear códigos QR

Riesgos de seguridad al escanear códigos QR

El humilde código QR, ignorado en gran medida durante casi dos décadas, ha vuelto desde el inicio de la pandemia. Entre otras cosas, su uso evita que los usuarios mantengan contacto físico con elementos que pueden ser utilizados por más de una persona.

Un código QR, o Código de respuesta rápida, es un código de barras bidimensional que puede descifrarse mediante un lector usando la cámara del teléfono móvil.

Contiene más de 4.000 caracteres en un formato condensado legible por una máquina, y está diseñado como un método rápido para leer contenido estático o realizar una tarea específica

Los iPhones con iOS 11 o superior y algunos dispositivos Android vienen con un lector integrado.

Si tienes un modelo anterior, necesitarás descargar una aplicación de terceros con la misma funcionalidad.

Son muy fáciles de crear, y también de leer, incluso cuando están parcialmente dañados, y tienen una capacidad de almacenamiento mucho mayor en comparación con los códigos de barras estándar.

Los códigos QR son habituales en el mundo de la publicidad, y también se pueden emplear para realizar pagos, para conectarse de forma automática a una red wifi, configurar la autenticación en dos factores en un dispositivo móvil, abrir una página web, descargar una aplicación etc.

La tecnología de código QR no acostumbra a tener fallos de seguridad. 

Una vez que un programa genera un código QR estático (a diferencia de un código QR dinámico que puede cambiar campos como una URL), ese código no se puede modificar para hacer otra función.

Los códigos QR dinámicos son un riesgo, ya que los datos almacenados en ellos se pueden cambiar una vez han sido generados.

Los riesgos que a menudo asociamos con los códigos QR (privacidad, phishing, piratería informática o inyección de malware en los dispositivos) no se derivan directamente de la tecnología de códigos QR, sino del destino final de cada código.

Códigos QR maliciosos.

Los villanos pueden imprimir carteles o folletos con códigos QR maliciosos y distribuirlos en lugares públicos.

Estos códigos redirigirían a los usuarios que los escaneen a páginas de phishing, o a descargas de software malicioso.

Suplantación de una campaña de marketing.

Una vez que finaliza una campaña de marketing, es posible que los códigos QR originales sigan existiendo aunque la dirección de destino ya no sea propiedad del creador.

Los delincuentes podrían comprar el dominio, y reutilizar el enlace del código QR para enviar a los usuarios a una página de destino diferente.

También podían imprimir pegatinas nuevas con códigos QR falsos y pegarlos sobre los legítimos. Estos códigos podrían llevar a los usuarios a sitios web de phishing en lugar de al sitio web original.

Error en una aplicación de lectura de código.

Siempre existe el riesgo de que un atacante encuentre un error en una aplicación de lectura de código que podría resultar en la explotación de la cámara del teléfono, o a la exfiltración de datos del dispositivo.

Direcciones web ofuscadas.

Pueden usar URL abreviadas para llevar a un usuario a un sitio web desconocido, confundiéndole en cuanto al verdadero destino y posiblemente instalando malware en su teléfono.

Geolocalización.

Podrían revelar la ubicación del usuario: el  software malicioso puede rastrear silenciosamente la ubicación geográfica del usuario y enviar estos datos a una aplicación o sitio web.

Puntos de acceso wifi falsos.

Se pueden utilizar para agregar una red wifi comprometida a la lista de redes preferidas del dispositivo e incluir una credencial que conecta automáticamente el dispositivo a esa red.

Pagos fraudulentos.

Si el código QR es malicioso, podría permitir a los piratas informáticos enviar automáticamente un pago y capturar los datos financieros del usuario.

Descargas de malware.

Los códigos QR también se pueden usar para descargar aplicaciones móviles falsas o maliciosas que pueden dañar o robar información de los dispositivos.

La verdad es que muchos de nosotros somos personas curiosas y podemos tener la tentación de escanear un código QR solo para ver qué contiene, y esta acción podría tener consecuencias nefastas, como inyectar malware en nuestros dispositivos.

¿Los códigos QR recopilan información personal?

La mayoría del software de generación de códigos QR recopila unos datos mínimos de los usuarios que escanean los códigos y nunca recopila información de identificación personal.

Los únicos datos que acostumbran a recopilar, y que únicamente son visibles para el creador del código, incluyen la ubicación (ciudad y país del usuario), número de escaneos (cuántas veces el usuario escaneó el código), hora (a qué hora escaneó el código) y el sistema operativo del dispositivo que escaneó el código (es decir, iPhone o Android).

Qué podemos hacer los usuarios

Lo primero es no escanear de forma compulsiva todo lo que se nos ponga por delante.

Utilizar únicamente una aplicación de lectura de QR con funciones de seguridad integradas que protegen de códigos QR con enlaces peligrosos que pueden exponernos al malware o al phishing.

Muchos fabricantes de antivirus las ofrecen de forma gratuita, tanto en Google Play como en App Store.

Hay que tener especial cuidado con los enlaces del tipo bit.ly que emplean ciertos algoritmos para convertir un enlace largo en uno corto.

Estos enlaces se usan a menudo para disfrazar URL maliciosas.

En la barra de navegación, se puede previsualizar la dirección real agregando un símbolo más (+) al final de la URL, pero si están insertados dentro de un código QR puede pasar desapercibida.

Si alguna vez ves un código QR en una pared, en la pantalla del ordenador o incluso en una tarjeta de presentación, no lo escanees a no ser que tengas muy claro de que se trata.

Un villano podría haber pegado fácilmente un código QR malicioso encima del legítimo.

Esto es muy típico en los bares y restaurantes que tienen la carta en este formato pegada en las mesas de las terrazas.

En cualquier caso, las nuevas tecnologías nos facilitan la vida y ofrecen muchas posibilidades, y estando bien informados podemos hacer un uso seguro de ellas.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

Cómo funciona el contrabando de HTML
Cómo descargar torrents de forma segura
Dos aplicaciones de Google Play envían tus datos a China
Los ciberdelincuentes se estafan unos a otros
 identificar y protegerse contra el spear phishing
Cómo borrar evidencias con BleachBit