Soy una firme creyente de que estos temas sirven para enriquecer el foro y a los foristas, espero y os guste.
Los códigos quick response —de respuesta rápida, en inglés— son símbolos de uso cotidiano en innumerables actividades en el mundo digitalizado actual. Si bien su invención se remonta a 1994 (en Japón), no fue hasta 2020 cuando los QR se volvieron verdaderamente populares. Entonces, la cantidad de escaneos desde smartphones se duplicó con respecto a 2019, debido, principalmente, a una cuestión de salubridad.
Asimismo, estos ideogramas permiten desplegar y/o compartir información sin necesidad de tocar la superficie escaneada (que pudiese estar contaminada). En consecuencia, desde la irrupción de la esa época en el 2020 de la que yo le hablo de el bichito-19 cada vez más empresas desean saber cómo crear un código QR para promocionar sus marcas. Al mismo tiempo, es importante que las personas conozcan las recomendaciones para escanear estos símbolos de forma segura.
A continuación, se profundiza más al respecto.
Preocupaciones de seguridad al escanear códigos QR
Los códigos QR como herramientas de los ciberdelincuentes
Lamentablemente, las grandes ventajas del uso de los códigos QR para usuarios y empresas —como el seguimiento de preferencias, por ejemplo— también pueden ser aprovechadas por los cibercriminales. Al fin y al cabo son ideogramas con la capacidad de contener 7.089 dígitos o 4.296 caracteres, es decir, muchísima data. Por este motivo, los hackers los utilizan para elaborar estafas basadas en la introducción de enlaces maliciosos.
Específicamente, malwares, softwares programados intencionalmente para destruir, dañar o apropiarse del acceso a un sistema de computadoras. Dicho implemento cibercriminal puede ser insertado mediante un procedimiento simple dentro de un código QR con un “URL contaminado”. Luego, cuando el usuario escanea el ideograma, pone a disposición del hacker todos sus datos personales, incluyendo claves bancarias y preguntas de seguridad.
Procedimientos favoritos de los hackers en las estafas con códigos QR
Tampered QR codes (códigos QR trampeados):
Colocados en stickers físicos o en medios digitales en substitución de un símbolo de una marca o campaña promocional legítima.
Sitios web maliciosos:
Este tipo de websites lucen idénticos a la página original programada en la ruta insertada dentro de un código QR lícito (de una tienda online, por ejemplo). Así, los usuarios incautos son conducidos a una subpágina que le solicita sus datos bancarios para —supuestamente— completar la compra. Pero, en realidad, es una trampa para robar información.
Phishing scams o estafas de suplantación de identidad:
Se trata de códigos QR falsos que son muy parecidos a aquellos creados por firmas legítimas (bancos o agencias gubernamentales). Sin embargo, el verdadero propósito es llevar al usuario a una ventana en donde éste proporciona voluntariamente su información personal y/o financiera, Una vez consumado ese paso, el robo es altamente probable.
Cómo protegerse de códigos QR maliciosos
Los seres humanos suelen ser el eslabón más débil en una cadena de seguridad dentro de un sistema informático. Además, las personas son incapaces de leer los códigos QR sin el apoyo de un dispositivo inteligente, por ende, es imposible que distingan cuáles ideogramas son peligrosos. En concordancia, los procedimientos delictivos de los hackers siempre van dirigidos a sacar tajada de los usuarios más confiados o ingenuos.
Por consiguiente, las principales recomendaciones de seguridad para no caer en el engaño de los códigos QR maliciosos apuntan a las acciones del individuo. En este sentido, la premisa fundamental de la prevención ante los ataques de ingeniería social es evitar el escaneo de símbolos cuya fuente sea desconocida. Para ello, los lectores de QR seguros resultan tremendamente útiles.
Decálogo de medidas básicas de protección ante el fraude con códigos QR
Los códigos ejecutables se definen como una versión de un programa generada por un desarrollador a partir de la secuencia original del software. Seguidamente, esta serie de comandos se almacena en un formato que puede ser procesado por un dispositivo cuando se enlaza a un programa o a otra cadena específica de caracteres. Ésto último es indispensable para activar la orden diseñada en la codificación.
Por esta razón, los hackers suelen ocultar los códigos ejecutables como secuencias “inofensivas” (por sí solas) y difíciles de reconocer para la mayoría de aplicaciones lectoras de QR. No obstante, las pocas apps escaneadoras de QR con un excelente nivel de seguridad —Beacon, por ejemplo— poseen funciones de aislamiento del contenido. De esa manera, pueden identificar y anular la orden escondida en la secuencia maliciosa.
Posibles consecuencias de activar un código ejecutable “tóxico”
Gracias y aguardo preguntas y comentarios con temas de cyberseguridad.
Los códigos quick response —de respuesta rápida, en inglés— son símbolos de uso cotidiano en innumerables actividades en el mundo digitalizado actual. Si bien su invención se remonta a 1994 (en Japón), no fue hasta 2020 cuando los QR se volvieron verdaderamente populares. Entonces, la cantidad de escaneos desde smartphones se duplicó con respecto a 2019, debido, principalmente, a una cuestión de salubridad.
Asimismo, estos ideogramas permiten desplegar y/o compartir información sin necesidad de tocar la superficie escaneada (que pudiese estar contaminada). En consecuencia, desde la irrupción de la esa época en el 2020 de la que yo le hablo de el bichito-19 cada vez más empresas desean saber cómo crear un código QR para promocionar sus marcas. Al mismo tiempo, es importante que las personas conozcan las recomendaciones para escanear estos símbolos de forma segura.
A continuación, se profundiza más al respecto.
Preocupaciones de seguridad al escanear códigos QR
Los códigos QR como herramientas de los ciberdelincuentes
Lamentablemente, las grandes ventajas del uso de los códigos QR para usuarios y empresas —como el seguimiento de preferencias, por ejemplo— también pueden ser aprovechadas por los cibercriminales. Al fin y al cabo son ideogramas con la capacidad de contener 7.089 dígitos o 4.296 caracteres, es decir, muchísima data. Por este motivo, los hackers los utilizan para elaborar estafas basadas en la introducción de enlaces maliciosos.
Específicamente, malwares, softwares programados intencionalmente para destruir, dañar o apropiarse del acceso a un sistema de computadoras. Dicho implemento cibercriminal puede ser insertado mediante un procedimiento simple dentro de un código QR con un “URL contaminado”. Luego, cuando el usuario escanea el ideograma, pone a disposición del hacker todos sus datos personales, incluyendo claves bancarias y preguntas de seguridad.
Procedimientos favoritos de los hackers en las estafas con códigos QR
Tampered QR codes (códigos QR trampeados):
Colocados en stickers físicos o en medios digitales en substitución de un símbolo de una marca o campaña promocional legítima.
Sitios web maliciosos:
Este tipo de websites lucen idénticos a la página original programada en la ruta insertada dentro de un código QR lícito (de una tienda online, por ejemplo). Así, los usuarios incautos son conducidos a una subpágina que le solicita sus datos bancarios para —supuestamente— completar la compra. Pero, en realidad, es una trampa para robar información.
Phishing scams o estafas de suplantación de identidad:
Se trata de códigos QR falsos que son muy parecidos a aquellos creados por firmas legítimas (bancos o agencias gubernamentales). Sin embargo, el verdadero propósito es llevar al usuario a una ventana en donde éste proporciona voluntariamente su información personal y/o financiera, Una vez consumado ese paso, el robo es altamente probable.
Cómo protegerse de códigos QR maliciosos
Los seres humanos suelen ser el eslabón más débil en una cadena de seguridad dentro de un sistema informático. Además, las personas son incapaces de leer los códigos QR sin el apoyo de un dispositivo inteligente, por ende, es imposible que distingan cuáles ideogramas son peligrosos. En concordancia, los procedimientos delictivos de los hackers siempre van dirigidos a sacar tajada de los usuarios más confiados o ingenuos.
Por consiguiente, las principales recomendaciones de seguridad para no caer en el engaño de los códigos QR maliciosos apuntan a las acciones del individuo. En este sentido, la premisa fundamental de la prevención ante los ataques de ingeniería social es evitar el escaneo de símbolos cuya fuente sea desconocida. Para ello, los lectores de QR seguros resultan tremendamente útiles.
Decálogo de medidas básicas de protección ante el fraude con códigos QR
- Mantener actualizado el sistema operativo del dispositivo móvil usualmente empleado para escanear códigos QR;
- No fiarse del lector de códigos QR que suele venir integrado a la cámara de los smartphones de fabricación reciente;
- Investigar sobre las aplicaciones más recomendadas y con mejor reputación para leer códigos QR de forma protegida;
- Una característica indispensable en la App escogida es la función de verificación y aislamiento de la fuente del URL contenido dentro del ideograma;
- Las comprobaciones de seguridad de la aplicación seleccionada deben ser capaces de analizar toda la información contenida en cada redirección de los códigos QR dinámicos;
- Las apps de lectura de códigos QR están obligadas a desplegar ante el usuario la URL decodificada antes de abrir el vínculo y solicitar su confirmación;
- Una vez elegida e instalada la App móvil para escanear códigos QR, es indispensable mantener su software con la actualización más reciente;
- En el caso de las empresas, es sumamente aconsejable complementar las pautas recién mentadas con la instalación de softwares de seguridad anclados en protocolos SSL. De esa manera, cuentan con una protección adicional sólida en caso de ocurrir alguna filtración de datos;
- Implementar sistemas de autenticación de factores múltiples con el objetivo de suprimir la dependencia de las contraseñas como procedimiento de resguardo único de las cuentas de los usuarios;
- Limitar el acceso a la información bancaria del usuario a uno o pocos dispositivos indispensables.
Los códigos ejecutables se definen como una versión de un programa generada por un desarrollador a partir de la secuencia original del software. Seguidamente, esta serie de comandos se almacena en un formato que puede ser procesado por un dispositivo cuando se enlaza a un programa o a otra cadena específica de caracteres. Ésto último es indispensable para activar la orden diseñada en la codificación.
Por esta razón, los hackers suelen ocultar los códigos ejecutables como secuencias “inofensivas” (por sí solas) y difíciles de reconocer para la mayoría de aplicaciones lectoras de QR. No obstante, las pocas apps escaneadoras de QR con un excelente nivel de seguridad —Beacon, por ejemplo— poseen funciones de aislamiento del contenido. De esa manera, pueden identificar y anular la orden escondida en la secuencia maliciosa.
Posibles consecuencias de activar un código ejecutable “tóxico”
- Violaciones a la privacidad debido a la exposición de los datos de acceso a la información personal;
- Vulnerabilidad ante ataques de Botnets (softwares maliciosos asociados a una red de computadoras que son controladas como una unidad sin el conocimiento del propietario);
- Terceras personas no autorizadas podrían acceder y controlar distintas funciones del dispositivo infectado. Entre ellas: cámara, galería, contactos, calendario, historial de navegación, geolocalización, aplicaciones instaladas, tiempo de uso… etc.
Gracias y aguardo preguntas y comentarios con temas de cyberseguridad.
