Qshing, el abuso de los códigos QR

Debido al incremento en la popularidad, uso y confianza de los códigos QR, han aumentado los riesgos asociados y las ciberestafas. Casi dos décadas después de su desarrollo, la prevalencia y el uso de códigos de respuesta rápida (QR) se han expandido mucho más allá de su alcance original. Si bien muchos usos son legítimos, […]

Debido al incremento en la popularidad, uso y confianza de los códigos QR, han aumentado los riesgos asociados y las ciberestafas.

Casi dos décadas después de su desarrollo, la prevalencia y el uso de códigos de respuesta rápida (QR) se han expandido mucho más allá de su alcance original. Si bien muchos usos son legítimos, los actores de amenazas también aprovechan la tecnología con fines maliciosos.

Inventados en 1994, los códigos QR originalmente brindaban información de seguimiento rápido para piezas de automóviles. Esta tecnología fue adoptada por diversas empresas -y actualizada- para facilitar el acceso a sitios web y otros tipos de informaciones.

Actualmente, se utilizan para tareas como facilitar pagos, descargar aplicaciones, distribuir documentos y confirmar tickets para eventos. Incluso admiten mecanismos de seguridad, incluido el despliegue de autenticación multifactor.

El punto máximo de popularidad probablemente se dio en la pandemia del COVID-19, la cual provocó el uso generalizado de códigos QR para informar los resultados de las pruebas y confirmar el estado de vacunación. Otro ejemplo fue el escaneo masivo sin precedentes del anuncio de Coinbase durante el Super Bowl de 2022.

Esta evolución ha persuadido a los usuarios de que se puede confiar en los mecanismos de código QR. Sin embargo, los actores de amenazas están explotando esta confianza para recopilar información confidencial o implementar malware.

¿Cómo se explotan los códigos QR?

Los códigos QR aprovechan las cámaras o los escáneres de los dispositivos móviles para leer un código de barras de matriz. Luego, el dispositivo traduce el código de barras en una acción, como una redirección a un sitio web.

Si bien los códigos QR no se pueden comprometer directamente, es posible sustituir un código QR por otro, abusar de ellos para distribuir software malicioso o redirigir a las víctimas a un sitio web malicioso.

Los ataques que explotan los códigos QR se conocen como ‘Qshing’ (phishing de código QR). En enero de 2022, la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió a los usuarios sobre la manipulación y citó un aumento de informes de credenciales robadas y pérdidas monetarias.

Si bien no existe una forma concluyente de verificar la legitimidad de un código QR, se recomienda ser cuidadoso y tener en consideración las siguientes recomendaciones:

• Evalúa la credibilidad del código QR, el contexto en el que fue entregado y por qué se requiere usar. No es lo mismo abrir un código QR para ver la carta de un restaurant a abrir un código en un afiche o un correo dudoso.

• Prefiere el camino directo: Los códigos QR se utilizan a menudo para proporcionar acceso directo a un sitio web o descarga de aplicaciones. Es más seguro visitar una página a través de una URL confirmada en un navegador web y descargar aplicaciones de la tienda de aplicaciones oficial.

• Protege los QR que brindan acceso a la información de identidad personal (PII): Los códigos que se vinculan a datos confidenciales, como información de salud, están vinculados específicamente a la persona como individuo. Por ende, es fundamental no compartir estos códigos QR con terceros.

• Por último, es importante verificar el destino del código QR: Es posible que el código QR en si no sea malicioso, pero podría dirigir a contenido malicioso. Siempre hay que evaluar la autenticidad y la seguridad del contenido considerando factores como la validez de la URL, el estado del cifrado y el formato de la página.