Cuidado con los códigos QR, ¡puede haber phishing!

phishing-en-codigos-QR

Cuidado con los códigos QR, ¡puede haber phishing!

VALORACIÓN DEL ARTÍCULO:
5/5

Desde que el mundo entrara en situación de pandemia, la nueva normalidad ha traído algunos cambios en cuestión de digitalización. Uno de ellos es la implementación de códigos QR en la mayoría de las industrias. Muy prácticos son los casos de la hostelería. Gran parte de bares y restaurantes ofrecen sus cartas y menús a través de estos códigos para evitar el contacto con los consumidores.

Estos servicios han acercado los códigos QR a la ciudadanía, pero son muchas otras las actividades que funcionan como esta especie de códigos de barras para enlazar una web a los interesados.

Nos vamos transformando como sociedad y nos vamos acercando cada vez más a las tecnologías digitales. Casi todo funciona a través de la nube porque en ella cabe mucha información, no requiere altos costes y los datos se gestionan de una forma más ágil. Además, con ella se evita el uso de papeles o plásticos, con lo que también se echa una mano a la salud del planeta. Pero ojo, todo esto tiene sus riesgos y al igual que te pueden robar la cartera con dinero y tarjetas de crédito, también se puede sufrir un ataque de phishing a través de la nube y los códigos QR.

cogidos-QR

Índice de contenidos

¿Qué son los códigos QR?

Antes de pasar a hablar de los hackeos a través de esta tecnología, conviene explicar qué son los códigos QR y cuándo fueron creados. Estos códigos, como se decían, son la evolución natural de los códigos de barras de toda la vida y, por definición, significan Quick Response code, es decir, códigos de respuesta rápida.

Son códigos de barras bidimensionales que se leen en los dispositivos móviles y nos llevan directamente a una aplicación o un página en internet. Fueron creados en 1994 por una filial de Toyota y dado el origen de esta compañía, se hicieron rápidamente populares en Japón.

Actualmente, su uso se está muy extendido por todo el mundo en diversas facetas y sectores de actividad. Podemos encontrarnos con códigos QR en el sector de la salud, en la cultura, para el ecommerce, logística e incluso para usos funerarios. Los mismos códigos QR han sido objetivo de inspiración para obras artísticas.

Asimismo, se pueden distinguir varios tipos de estos códigos: además de la versión clásica, hay códigos micro QR, códigos iQR, SQRC y Frame QR. Todo está registrado por el inventor, Denso Wave.

codigos-QR-billetes-de-avión
En los billetes de avión impresos suele haber un código QR.

QRishing, el peligro que no se ve

Una vez definido el concepto y vistos los beneficios que presenta al usuario, toca hablar de los peligros o amenazas en principio invisibles para cualquiera. Hablamos de la actividad de los hackers y los delitos que pueden cometer gracias al phishing y los códigos QR.

La técnica es bien conocida por los ladrones y muchos ya ha la han padecido. Robos de credenciales, contraseñas y de dinero por abrir un documento alojado en un correo electrónico o un enlace que contiene un código QR. Estos hechos que muchos están conociendo por primera vez, llevan muchos años siendo objeto de análisis por los expertos en tecnologías. De hecho, ya antes de la pandemia de la COVID-19, en el año 2012, la Carnegie Mellon University (Pittsburgh, Pensilvania, EEUU) realizó un estudio de lo que ya denominó como QRishing, o la susceptibilidad de los usuarios de teléfonos inteligentes a los ataques de “phishing” vía códigos QR.

Casi todos los que escanean códigos QR, visitan la URL asociada

En el estudio de esta universidad, se observó que el 85% de las personas que escanearon un código QR visitaron posteriormente la URL asociada. Los responsables estimaron que que este porcentaje podría llegar a casi el 100%, ya que la tendencia del usuario cada vez mayor es la de no plantearse que haya algo malicioso detrás de un algoritmo encriptado.

Pero ¿qué pasa cuando se lee un QR? La acción se asemeja a cuando se pincha directamente un link de Internet, se está pinchando en un enlace que ni siquiera se puede ver a simple vista, con lo que la probabilidad de caer en las redes de una web maliciosa aumenta exponencialmente, sobre todo si se compara con el caso de un email, un SMS o un WhatsApp “pirata”, en los que sí se puede identificar más fácilmente a dónde quieren redirigir si se pincha en ellos. Básicamente, la ausencia de información gráfica fomenta que la gente lea QRs.

Y estos QR maliciosos no solo sirven para robar identidades o información sensible, sino también para falsificar o recrear una realidad casi paralela y, prácticamente siempre, ilegal. Recientemente se han visto Data-Matrix (un tipo de código QR) de Pasaportes COVID falsificados con identidades como Adolf Hitler, Mickey Mouse y Bob Esponja que, para más inri, han sido validados y reconocidos por las apps gubernamentales.

SICPA-seguridad-códigos-QR

SICPA tiene la solución

Para prevenirse de estos males, el primer punto a destacar es una llamada al sentido común de los usuarios. Solo se debe escanear y acceder a la URL de un código QR si procede de una entidad confiable.

En la sombra siguen trabajando compañías expertas como SICPA, un referente en el mundo dedicado a la seguridad de la identidad digital y sistemas antifraude. Socio de gobiernos e instituciones, SICPA ha creado áreas estratégicas de negocio centradas exclusivamente en salvaguardar la integridad digital, con el apoyo de un laboratorio de aplicaciones digitales y la iniciativa de la moneda digital del Banco Central (CDB), que han dado lugar a innovadores productos como la plataforma Certus®, que incluye la certificación de salud y vacunas a través de myHealth Pass, así como otras aplicaciones creadas para hacer frente a nuevos desafíos.

Certus® es una solución digital novedosa que permite a los emisores de documentos de valor, como instituciones educativas, organismos gubernamentales y notarios, asegurar sus certificados con una combinación de sellos digitales con códigos QR a prueba de manipulaciones. El resultado es una marca de código QR que es imposible de manipular o falsificar y asegura tanto los certificados en papel como los digitales, permitiendo una verificación independiente y universal y salvaguardando el valor de los documentos de los titulares y la reputación de las autoridades emisoras.

TAMBIÉN TE INTERESA

islas canarias en Roblox

Islas Canarias, primer destino europeo en aparecer oficialmente en Roblox

Las Islas Canarias han marcado un hito en la promoción turística al lanzar «Find the Seasouls», una experiencia pionera dentro de ROBLOX, la plataforma social inmersiva que cuenta con más de 80 millones de usuarios activos diarios. Este proyecto no solo posiciona al archipiélago como un referente en innovación turística, sino que también explora nuevas

pagos por WhatsApp con Silbo

Silbo ensaya con un proyecto que es el deseo de muchos: pagos por WhatsApp

Aunque el dinero en efectivo tenga aún muchas resistencias en España, es evidente que ha entrado en una condición de peligro en extinción. Bizum triunfa y próximamente los pagos por WahstApp serán una realidad. Esta función de la plataforma de mensajería instantánea más popular en España es uno de los grandes deseos de la comunidad.

GeForce RTX Serie 50

GeForce RTX Serie 50: el futuro de las gráficas y de la IA ya está aquí

NVIDIA ha presentado sus GPUs GeForce RTX Serie 50 para ordenadores de sobremesa y portátiles. Con este lanzamiento, se abre una nueva era para el futuro de los dispositivos, los cuales estarán impulsados por la inteligencia artificial en todas sus variantes. Impulsadas por la arquitectura NVIDIA Blackwell, los núcleos Tensor de quinta generación y los núcleos

OnePlus 13

El móvil del año 2025 llega muy pronto: ya a la venta el OnePlus 13

Justo después de Reyes, OnePlus 13 salía el mercado europeo tras debutar en el asiático semanas atrás. Smartphone bestial donde los haya, muy equilibrado, potente y muy duradero. Eso sí, el precio supera los 1.000 euros. Pero es que puede ser el móvil del año. Seguramente la competencia mire con detalle todo lo que puede