Alguna vez fueron una curiosidad, pero hoy por hoy escanear códigos QR es algo tan común como navegar por la red. El momento de mirar el menú en un restaurante, cuando quieres conocer la cartelera de tu cine favorito, para acceder a información de tu centro de salud e incluso para alquilar una bicicleta pública, los QR son una forma conveniente de ingresar una dirección pero, lamentablemente, no desprovista de riesgos.
Los ciberdelincuentes saben que esta tecnología ya forma parte de tu día a día y aprovechan tu confianza para atacar cuando menos te lo esperas. Por ese motivo, profesionales de Entelgy Innotec Security lanzaron una serie de advertencias que te podrían evitar ser víctima de un qrishing.
Es clave recordar que para los criminales es muy sencillo ubicar códigos QR fraudulentos en lugares susceptibles de ser visualizados y escaneados por posibles víctimas, como vías públicas, carteles, farolas, ascensores, transporte público, bares, restaurantes, tiendas de ropa y comercios o centros de salud, etcétera.
Una vez escaneados, estos códigos pueden infectar los dispositivos a través de la instalación de un software malicioso, instar a la descarga de una aplicación especialmente diseñada con fin dudoso, o bien, pedir a los usuarios datos personales, credenciales privadas o información bancaria.
Primero, la prevención
Para evitar convertirte en víctima de este tipo de ciberataque, Raquel Puebla e Itxaso Reboleiro, analistas de ciberinteligencia de Entelgy Innotec Security, indican las siguientes recomendaciones y buenas prácticas:
Se recomienda visualizar el enlace de la página web a la que redirige cada código QR antes de acceder al mismo para evitar entrar en sitios web no deseados. Para ello, resulta imprescindible la concienciación en materia de ciberseguridad para conocer los riesgos asociados a esta ciberamenaza, así como incorporar medidas de prevención.
Entre otras, por ejemplo, se aconseja bloquear en los teléfonos móviles la funcionalidad que permite abrir de manera automática enlaces contenidos en los códigos QR, así como realizar cualquier otra acción automática (como descargar un elemento o conectarse a una red).
Así mismo, puede resultar conveniente hacer uso de aplicaciones legítimas que permitan leer la dirección a la que remite el QR antes de ser dirigido a la misma. Así el usuario podrá comprobar que realmente está introduciéndose en el sitio adecuado.
Por otro lado, si el código QR solicita una acción que puede no estar relacionada con la finalidad que debería afrontar, se debe cerrar la ventana correspondiente e informar de ello a quien corresponda, tanto a las autoridades como a los equipos de respuesta a incidentes pertinentes como a la organización cuyo código se ha manipulado.
Por ejemplo, en un restaurante, el código QR de una carta debería remitir a la misma. Sin embargo, un código malicioso podría solicitar, entre otras cuestiones: la descarga de una aplicación, la petición de información sensible o la realización de un pago.
Incluso si el QR tiene una función similar a la que afirma efectuar, también es conveniente realizar comprobaciones adicionales. Por ejemplo, en el caso de un QR destinado a publicitar la descarga de una aplicación móvil, el usuario debería revisar si la descarga se produce desde un sitio web oficial (Google Play o Apple Store) o desde una plataforma de terceros, así como observar el número total de descargas y su reputación.
Además, se debe desconfiar de (e incluso rechazar) tarjetas y folletos informativos que contengan códigos QR y que sean distribuidas por individuos desconocidos, generalmente en forma de regalo, para publicitar algún servicio o establecimiento. Este tipo de acciones han sido aprovechadas, por ejemplo, tras la fama de series y películas de gran visualización que han derivado en el rápido desarrollo de técnicas y productos de merchandising para dar continuidad a estas producciones. Este hecho es aprovechado por grupos de ciberdelincuentes para distribuir tarjetas que utilizan simbología de la serie y que en la práctica redirigen a los usuarios a sitios web comerciales poco fiables.
Por regla general, no se debería escanear ningún código QR ubicado en lugares en los que aparentemente no deberían estar o que sean hallados por el usuario al azar, como en postes, farolas o carteles.
Por último, con frecuencia los ciberdelincuentes superponen códigos QR falsos sobre otros oficiales, por lo que es imprescindible comprobar manualmente que no han sido manipulados o adheridos sobre otros. Esta práctica puede ser efectuada tanto por los usuarios del servicio para el que se ha empleado un código QR como desde la entidad que pudiese haber sido afectada por su aparición.
En este último caso hay que establecer revisiones periódicas, así como hacer uso de generadores de códigos QR confiables y comprobar que redirigen al sitio web correcto.