CIBERSEGURIDAD

¿Es hora de practicar QRiosity? Los peligros de seguridad de los códigos QR

0 93 4 minutos de lectura


Parecía una buena idea en ese momento, pero Masahiro Hara se arrepiente. Es el ingeniero responsable del código de respuesta rápida (QR), ese bloque cuadrado de píxeles que ahora adorna todo, desde las mesas de los restaurantes hasta los carteles del metro. ¿El problema? Simplemente no son lo suficientemente seguros.

«Ahora que se usa para pagos, siento la responsabilidad de hacerlo más seguro», dicho Hara el año pasado.

Como muchas tecnologías, el código QR se expandió más allá de su alcance original. Hara lo inventó en 1994 como una herramienta para identificar piezas en la fabricación de automóviles, no como una locura de los consumidores. Casi 15 años después, Apple cambió todo al lanzar el iPhone y marcar el comienzo de una nueva era de la informática móvil. Ahora, en la era de COVID-19, los códigos QR están aumentando en popularidad y uso porque hacen la vida más fácil en un mundo sin contacto. También son fundamentales para ayudar a garantizar la salud y la seguridad de todos durante la pandemia.

Los comerciantes han adoptado los códigos QR como una alternativa simple y de bajo costo a los pagos tradicionales basados ​​en contactos con los clientes. Los consumidores los escanean por necesidad, usándolos para acceder a los menús, aprovechar las promociones, autenticarse para los servicios en línea e incluso para pagar las facturas de los restaurantes. Y con el Seguimiento y localización del NHS por lo que es un requisito para las personas en el Reino Unido registrarse en los lugares de esta manera, es vital que sepamos más sobre los riesgos que representan.

Consecuencias no deseadas

La evolución de este pequeño código en una herramienta de consumo ha creado verdaderos problemas de seguridad. Cuando escanea uno para abrir un sitio web, ¿cómo sabe que lo está llevando al legítimo?

Si esta pregunta le deja perplejo, no está solo. Un MobileIron reciente encuesta de 2.100 consumidores en los EE. UU. y el Reino Unido revelaron que mientras casi siete de cada diez (67%) personas se sienten cómodas identificando una URL maliciosa, una porción similar (71%) de los consumidores no sabe cómo detectar un código QR malicioso.

Ellos no tienen la culpa. Los códigos QR no le dicen lo que llevan por adelantado. Cuando escanea uno, no puede saber lo que está obteniendo. Eso está bien si eres un robot en una fábrica de automóviles japonesa donde puedes confiar en todo lo que hay en la cinta transportadora, pero es potencialmente desastroso para los consumidores.

El código QR que escaneó para acceder fácilmente a su cuenta podría ser falso y lo llevará a un sitio de phishing que lo engaña para que ingrese información personal confidencial. Podría descargar un archivo infectado o enviarlo a un sitio web que infecta su dispositivo móvil.

Muchos de estos dispositivos están desprotegidos. El estudio de MobileIron encontró que más de la mitad (51%) de los encuestados no tenían software de seguridad en sus dispositivos móviles o no estaban seguros de si se había instalado.

Los sitios web maliciosos son solo la punta del iceberg. Los códigos QR pueden hacer mucho más que simplemente dirigir su navegador móvil a algún lugar en línea. Un solo escaneo de código QR puede generar una variedad de actividades en su dispositivo móvil. Éstos incluyen:

  • Revelar su ubicación a una aplicación, lo que potencialmente lo pone en riesgo físico
  • Agregar una red Wi-Fi preferida, iniciar sesión en un punto de acceso malicioso que podría interceptar sus comunicaciones, espiar los detalles de acceso a su cuenta e inyectar código malicioso en sus sesiones de navegación.
  • Enviar información de pago o cuenta a un atacante
  • Agregar un evento a su calendario, lo que podría desencadenar una vulnerabilidad en la aplicación o incrustar una URL maliciosa
  • Agregar un nuevo contacto, que podría aprovechar las vulnerabilidades en el software de su libreta de direcciones

La mayoría de las personas no son conscientes de estas cosas. Solo una persona de cada cuatro (24%) se da cuenta de que escanear un código QR podría hacer que su teléfono redacte un mensaje de texto con cualquier contenido que elija el atacante. Solo uno de cada cinco (19%) sabe que escanear un código QR puede hacer que su teléfono redacte un correo electrónico o incluso haga una llamada.

Evaluación del riesgo empresarial

Esto debería alarmar a las empresas por un par de razones. Primero, pone en riesgo a sus clientes. Los códigos QR son ridículamente fáciles de falsificar.

Durante años, las estaciones de servicio y los bancos han luchado contra los estafadores que fabrican hardware especial que cabe en la ranura de una tarjeta de crédito y roba los datos de la tarjeta de crédito. Ahora que la gente realiza pagos escaneando códigos QR, los delincuentes pueden simplemente pegar una pegatina con un código malicioso en cualquier lugar donde un código QR acepte un pago, poniendo en peligro al cliente y defraudando a la empresa.

En segundo lugar, los códigos QR maliciosos ponen en peligro a sus empleados y, por lo tanto, a su propia infraestructura. Imagínese esto: un empleado escanea un código QR para pagar en un restaurante, pero el código es malicioso: un ciberdelincuente podría haberlo pegado sobre el real unos minutos antes. El código parece aceptar el pago, pero también infecta el teléfono del empleado con un virus que extrae información valiosa del trabajo del teléfono.

La pandemia ha marcado el comienzo de una nueva era de trabajo; la ‘Empresa en todas partes’, donde los empleados trabajan desde donde se sienten más productivos y cómodos, y las empresas tienen la responsabilidad de asegurar su nueva fuerza laboral dispersa.

La investigación ha demostrado que este modelo llegó para quedarse. En una reciente Encuesta MobileIron, encontramos que más del ochenta por ciento (82%) de los empleados nunca quieren regresar a la oficina a tiempo completo, y muchos usarán sus propios dispositivos para facilitar nuevos arreglos de trabajo flexibles. Si los empleados utilizan los mismos dispositivos desde los que trabajan para escanear códigos QR, están poniendo en riesgo los datos corporativos, así como su seguridad personal.

Este problema empeorará porque los códigos QR están a punto de volverse mucho más populares gracias a la pandemia. Casi dos tercios (64%) de los encuestados de MobileIron afirmaron que los códigos QR les facilitan la vida en una sociedad socialmente distanciada. Escanear un código para pagar es mucho más seguro que usar efectivo o manejar una terminal.

Muestra algo de ‘QRiosidad’

Que puedes hacer para protegerte? Como empresa, muestre códigos QR en lugares que sean fáciles de escanear a distancia pero difíciles de alterar físicamente, como detrás del plexiglás en el mostrador. Proteja el entorno de trabajo en los teléfonos de sus empleados mediante la gestión unificada de puntos finales (UEM) junto con la defensa contra amenazas móviles (MTD) para detectar y remediar las amenazas. UEM mantiene las aplicaciones comerciales y los datos separados de los personales y certifica que las comunicaciones entre la aplicación y la red de análisis están encriptadas y autorizadas.

Como cualquier tecnología habilitadora, los códigos QR se utilizan principalmente para el bien. Deberíamos abrazarlos. Pero también debemos ser cautelosos y protegernos mostrando algo de ‘QRiosidad’ sobre lo que estamos escaneando. Al manipular estas imágenes pequeñas, asegúrese de ver la imagen más grande.

Contribuido por Alex Mosher, vicepresidente global de soluciones, MobileIron

Publicaciones relacionadas

NETSCOUT se asocia con UMASS para proteger a la universidad de los ataques cibernéticos.

El nuevo ransomware UNNAM3D mueve archivos a archivos RAR protegidos.

Google agrega una lista de nuevos socios a BeyondCorp Alliance

El gobierno de EE. UU. Comparte una advertencia «crítica» para los usuarios de Windows.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar