Una empresa de seguridad alerta de los riesgos de los códigos QR

• La empresa Check Point es la fabricante del popular programa cortafuegos ZoneAlarm

Según la empresa de seguridad informática Check Point, el cada vez más popular escaneo de códigos QR mediante smartphones, está siendo usado por los cibercriminales para realizar ataques de ingeniería social, según un estudio donde analiza los riesgos para la seguridad móvil derivados del escaneo de códigos QR («Quick Response o Respuesta Rápida»). La compañía afirma que los cibercriminales están haciendo un uso acrecentado de estos códigos para realizar ataques de ingeniería social, siendo el acceso a las aplicaciones de pago de los terminales móviles uno de sus principales objetivos.

En la actualidad, los códigos QR, presentes en todo tipo de cartelería, catálogos, revistas, etc. proliferan como forma de acceso a información y servicios. Sólo con escanear un código QR con un smartphone es posible acceder a directamente a contenidos digitales, circunstancia que está siendo usada por los hackers para redirigir a los usuarios hacia programas o sitios Web maliciosos.

Además, las aplicaciones de lectura o escaneo de códigos QR que se ejecutan desde un smartphone pueden proporcionar un vínculo directo hacia otras capacidades de ese mismo dispositivo, tales como e-mail, SMS, servicios de localización o instalación de aplicaciones, lo que incrementa el riesgo potencial para estos dispositivos.

Según Mario García, director general de Check Point «los códigos QR ofrecen un nuevo método para manipular a los usuarios móviles, de un modo similar al que ya estamos acostumbrados en los ordenadores con metodologías del tipo «drive by-downloads», es decir, con la simple lectura de un código QR podemos infectar nuestro dispositivo móvil y poner en un serio compromiso tanto datos como aplicaciones», informó la empresa en un comunicado.

Aplicaciones de pago como objetivo

Los códigos QR usados por los cibercriminales pueden estar contenidos en un correo electrónico o estar insertados en documentos físicos de aspecto verosímil, como folletos en una feria comercial. Existe un amplio abanico de tipos de estafa, pero en un nivel básico, el código podría dirigir al usuario a un sitio Web falso para cometer phising, como una tienda on-line falsa o un sitio Web de pago.

Sin embargo, los ataques más sofisticados permiten el uso por parte del hacker de los códigos QR para dirigir a los usuarios a sitios Web que «liberarían» su dispositivo móvil, es decir, que permitirían el acceso al directorio raíz del sistema operativo para la instalación de malware. Esto lo convertiría en un ataque del tipo «drive-by-downloads» en el propio dispositivo, que permitiría instalar software adicional, como registros de claves o seguimiento vía GPS, sin el conocimiento del propio usuario.

Pero tal vez el mayor riesgo potencial para los usuarios de códigos QR sea el uso de la banca móvil y de los pagos realizados a través de los smartphones. La capacidad que tienen estos códigos para «liberar» los dispositivos y aprovecharse de sus aplicaciones puede dar a los hackers un acceso virtual como «carteristas» a las aplicaciones de pago de los dispositivos.

Cómo mitigar los riesgos

La precaución más importante a tener en cuenta para mitigar los riesgos asociados a estos códigos es la de ser capaz de establecer con exactitud qué enlace Web o recurso se va a poner en marcha cuando el código QR sea escaneado. Algunas aplicaciones de escaneo de códigos QR (no todas) ofrecen esta visibilidad y piden confirmación de si se desea realizar la acción. Esto le da al usuario la oportunidad de evaluar la validez del vínculo antes de que el código sea activado.

En el ámbito corporativo, y considerando que según una reciente encuesta elaborada por Check Point en los últimos dos años se ha duplicado el número de dispositivos móviles conectados a redes empresariales, las medidas para mitigar las amenazas de los códigos QR deben convertirse en una prioridad. Para los smartphones corporativos, Check Point recomienda el despliegue de soluciones de cifrado de datos de modo que, incluso en el caso de que un código QR malicioso instale un troyano en el dispositivo, la información confidencial estará aún protegida y no será accesible ni utilizada de forma inmediata por los hackers.

«Nos encontramos ante una amenaza creciente y que, dado el uso actual de la telefonía móvil ha de tomarse como una prioridad, tanto para los usuarios particulares como para las empresas. Si bien los ataques cuya finalidad es ‘liberar’ los dispositivos son todavía minoritarios, estamos convencidos de que crecerán a medida que se extienda y aumente la aceptación pública de los códigos QR», concluye Mario García.

• Acerca de
• Últimas entradas

David Laguillo

Periodista en CANTABRIA DIARIO

David Laguillo (Torrelavega, 1975) es un periodista, escritor y fotógrafo español. Desde hace años ha publicado en medios de comunicación de ámbito nacional y local, tanto en publicaciones generalistas como especializadas. Como fotógrafo también ha ilustrado libros y artículos periodísticos. Más información en https://www.davidlaguillo.com/biografia

Últimas entradas de David Laguillo (ver todo)

• Cantabria mejora en los datos de la EPA - 26 de abril de 2024
• Felipe VI preside en Santander el Premio Princesa de Girona de Investigación 2024 - 25 de abril de 2024
• El Colegio Oficial de Arquitectos de Cantabria organiza una exposición de jóvenes artistas cántabros - 25 de abril de 2024