Por qué están prosperando las amenazas de los códigos QR

Tabla de contenido:

Por qué están prosperando las amenazas de los códigos QR
Por qué están prosperando las amenazas de los códigos QR
Anonim

Los códigos QR facilitan el acceso a los recursos basados en la web sin tener que lidiar con el diminuto teclado de su teléfono inteligente. Pero, ¿realmente sabes lo que obtendrás cuando escanees uno?

El código QR

Los códigos de respuesta rápida (QR) vuelven a aparecer repentinamente en todas partes. Inventado en 1994 por un equipo galardonado en Denso Wave, una subsidiaria de Toyota, el código QR se ha abierto camino en casi todas las industrias. Son como un código de barras con esteroides. Pueden parecer tableros de ajedrez de borrachos, pero los cuadrados blancos y negros, muy recargados, contienen mucha más información que las franjas de un código de barras. Y los códigos QR pueden desencadenar una de una selección de acciones dentro del dispositivo de escaneo, generalmente un teléfono inteligente.

Los códigos QR se encuentran en los empaques de los productos, las paradas de autobús y las vallas publicitarias. Están en material promocional impreso como boletos, folletos y tapetes para bares. Puede verlos en vehículos de la empresa, promociones en tiendas y puestos emergentes en exposiciones. ¿Quiere saber más sobre el producto, evento o lo que sea que se esté promocionando? Escanea el código con tu smartphone.

Puedes encontrar códigos QR escondidos dentro de servidores y otro hardware. Si el técnico visitante necesita consultar el manual pero no tiene una copia a mano, puede escanear el código QR y acceder al manual en línea.

Si usa la aplicación móvil de LinkedIn, toque el grupo de cuadrados en la barra de búsqueda, luego toque "Mi código". Verás tu propio código QR personal. Lleva a la gente directamente a tu perfil de LinkedIn. Cada vez más, las personas están agregando estos a sus CV. Incluso puedes ver los códigos QR en los cementerios.

La pandemia de COVID-19 ha ayudado a impulsar el renacimiento del código QR. La gloria de los códigos QR es que no necesita tocar nada más que su propio teléfono inteligente para usarlos. Es un sistema sin contacto rápido y sencillo, y todo el mundo ya lleva consigo un escáner adecuado. Y eso lo convierte en el mecanismo perfecto para acceder o recopilar información en una pandemia.

Es por eso que el advenimiento de COVID-19 ha hecho que el código QR tome una posición central en muchas empresas que tratan con el público de manera rutinaria. Los restaurantes, por ejemplo, están utilizando códigos QR para mostrar el menú en los teléfonos inteligentes de los comensales. No hay necesidad de manejar un menú impreso que ha estado dando vueltas en el restaurante desde quién sabe cuándo.

En el Reino Unido, la aplicación Track and Trace del Servicio Nacional de Salud se basa en códigos QR. Los lugares muestran un póster personalizado con un código QR específico de la ubicación. Los visitantes escanean el código y la aplicación registra dónde estuvo y cuándo. Si alguien informa síntomas de COVID-19, los servidores del NHS pueden analizar los datos y averiguar quién más ha estado en contacto con esa persona.

El problema con los códigos QR

El uso más común de un código QR orientado al consumidor es abrir una página web en su teléfono inteligente. Pero pueden hacer mucho más que eso. Los códigos QR pueden invocar diferentes acciones en un teléfono inteligente según la información contenida en el código QR.

Antes de hacer clic en un enlace web, probablemente lo verifique visualmente para detectar inconsistencias. Tiene sentido verificar que la página web a la que te llevará tenga un nombre sensato y plausible. ¿Realmente lo llevará al sitio que dice que lo hará, o a un sitio de imitación que robará sus credenciales de inicio de sesión? Con un código QR, no se puede saber. A simple vista, son completamente impenetrables: los humanos no pueden leer su contenido. Escanear un código QR es un acto de fe.

Nuestros teléfonos inteligentes son un avatar de nuestra identidad en el mundo real. Contienen todo tipo de datos personales que son invaluables para los actores de amenazas, así como acceso a aplicaciones como banca en línea, PayPal y billeteras de criptomonedas. Un teléfono inteligente comprometido es tan malo como una computadora comprometida.

Los teléfonos inteligentes desdibujan las líneas entre la vida digital privada de las personas y su vida digital corporativa o laboral. Algunas personas que reciben un teléfono inteligente de la empresa también tienen un teléfono inteligente privado. Para la mayoría, es más fácil y económico tener un solo teléfono inteligente, el teléfono inteligente de su empresa, y usarlo para uso comercial y personal.

La gente tiende a ser menos consciente de la seguridad en su uso personal de la web que en el uso corporativo. Pero si su teléfono inteligente se ve comprometido, pone en peligro la red corporativa porque el malware puede recopilar detalles de conexión a VPN y otras cuentas. Los correos electrónicos comerciales también se pueden desviar del dispositivo.

Por supuesto, los trabajadores sin un teléfono inteligente comercial tendrán un teléfono inteligente privado y es probable que lo conecten a la red Wi-Fi corporativa. Es menos probable que los teléfonos inteligentes privados estén protegidos por una VPN o suites de protección de puntos finales.

Ya sea un teléfono inteligente de la empresa o un dispositivo personal, un teléfono inteligente comprometido es un riesgo si se conecta a la red corporativa.

Y los teléfonos inteligentes pueden verse comprometidos en el lugar de trabajo. Cada vez es más común incluir un código QR en un CV o currículum. Puede llevarlo al blog personal del solicitante o a su perfil de LinkedIn, o puede ser malicioso. Enviar un CV falso con un código QR es una forma discreta de comprometer un teléfono inteligente, con un ataque en papel.

Código QR de LinkedIn para Dave McKay
Código QR de LinkedIn para Dave McKay

¿Qué puede hacer un código QR?

Los códigos QR pueden desencadenar una serie de acciones diferentes dentro de un teléfono inteligente.

  • Lanzamiento de un sitio web. Si es malicioso, podría ser un sitio de recolección de credenciales copiado, o podría infectar su teléfono inteligente con un caballo de Troya. El malware luego se conectará a los servidores de los actores de amenazas. Los datos se pueden transferir desde su teléfono inteligente a los servidores, o se puede descargar otro malware a su teléfono inteligente.
  • Agregue una entrada maliciosa a sus contactos. Una entrada de contacto especialmente diseñada que contenga información maliciosa puede desencadenar vulnerabilidades en su teléfono inteligente.
  • Agregue y conéctese a una red Wi-Fi,que podría ser una red maliciosa o comprometida.
  • Hacer un pago. A menudo, con el pretexto de que es un medio para donar a una organización benéfica, los códigos QR maliciosos pueden recibir pagos y permitir que los atacantes capturen su información personal y detalles de la cuenta.
  • Realice una llamada de voz. Si esa llamada es para los actores de amenazas, ahora tienen su número e información de identificación de llamadas. Es posible que intenten extraerte otra información mediante ingeniería social.
  • Crear un mensaje de texto SMS. El código QR puede crear un mensaje de texto dirigido a los atacantes (oa cualquier persona que elijan). Esto lo deja expuesto a ataques de phishing basados en texto, conocidos como ataques smishing.
  • Redacte un correo electrónico con destinatarios y asuntos preestablecidos,dejándolo expuesto a ataques de phishing por correo electrónico.
  • Regístrese para seguir cuentas de redes sociales. Las publicaciones en la cuenta de redes sociales contendrán enlaces que las víctimas tocarán para descargar malware en su teléfono.

Los códigos QR también pueden crear entradas en su calendario u obtener su ubicación del GPS de su teléfono inteligente, pero es menos probable que esto resulte en un compromiso.

Piense primero, escanee después

Con los códigos QR, el contexto es primordial. ¿Dónde está el código? ¿Quién es el propietario o proveedor del código? Si está en un volante casero grapado a un poste de telégrafo, no puede garantizar su veracidad. No tienes procedencia para ese código. Si el QR se encuentra en un cartel impreso profesionalmente en el área de recepción de la consulta de un médico o de un hospital, puede estar más seguro de que el código es genuino.

Pero aun así, comprueba que no se haya impreso otro código QR en una etiqueta de papel y pegado sobre el código original. No puede saber al mirarlo si el código QR es benigno o malicioso, pero puede buscar signos de manipulación o modificación. Si parece que se ha entrometido, no lo escanee.

Revise la configuración de su aplicación de escaneo de códigos QR y configúrela para que muestre las direcciones web antes de iniciar el sitio web o, de hecho, realizar cualquier otra acción. Es una pena que necesite introducir una revisión humana en el uso de códigos QR, que están diseñados para un flujo de trabajo sin problemas de "escanear y listo", pero combatir el ciberdelito requiere una diligencia constante.

Tema popular

Recomendado

Cómo controlar Plex Media Center con Amazon Echo
2023

Cómo controlar Plex Media Center con Amazon Echo

Cómo ver TV en vivo en tu Apple TV
2023

Cómo ver TV en vivo en tu Apple TV

Cómo reemplazar las teclas de su teclado mecánico (para que pueda vivir para siempre)
2023

Cómo reemplazar las teclas de su teclado mecánico (para que pueda vivir para siempre)

Cómo convertir PDF a JPG en Windows 10
2023

Cómo convertir PDF a JPG en Windows 10

Cómo comprobar la cantidad, el tipo y la velocidad de la memoria RAM en Windows 11
2023

Cómo comprobar la cantidad, el tipo y la velocidad de la memoria RAM en Windows 11

Cómo cambiar la imagen de tu perfil de Google
2023

Cómo cambiar la imagen de tu perfil de Google

Cómo ver cálculos básicos sin fórmulas en Hojas de cálculo de Google
2023

Cómo ver cálculos básicos sin fórmulas en Hojas de cálculo de Google

Cómo hacer que Alexa te avise cuando una persona te envía un correo electrónico
2023

Cómo hacer que Alexa te avise cuando una persona te envía un correo electrónico

Cómo ocultar o mostrar extensiones en la barra de herramientas de Microsoft Edge
2023

Cómo ocultar o mostrar extensiones en la barra de herramientas de Microsoft Edge

Cómo rastrear la ubicación de tu hijo en Android
2023

Cómo rastrear la ubicación de tu hijo en Android

Cómo seleccionar todos los correos electrónicos en Gmail
2023

Cómo seleccionar todos los correos electrónicos en Gmail

¿Qué es una pantalla Super Retina (XDR)?
2023

¿Qué es una pantalla Super Retina (XDR)?

¿Qué son las notificaciones automáticas?
2023

¿Qué son las notificaciones automáticas?

Cómo editar, reiniciar o continuar una lista numerada en Google Docs
2023

Cómo editar, reiniciar o continuar una lista numerada en Google Docs

La edad de oro de los CD de shareware
2023

La edad de oro de los CD de shareware

Cómo transferir tus listas de reproducción de Apple Music a Spotify
2023

Cómo transferir tus listas de reproducción de Apple Music a Spotify

Cómo subir un video a YouTube desde iPhone o Android
2023

Cómo subir un video a YouTube desde iPhone o Android

Cómo limitar el tiempo de pantalla de su hijo en Android
2023

Cómo limitar el tiempo de pantalla de su hijo en Android