Incibe – Protege los códigos QR y no pongas en riesgo la seguridad de tus clientes

Con motivo de la nueva normalidad y las exigencias en materia sanitaria establecidas por parte del Ministerio de Sanidad respecto a las actividades de los diferentes sectores económicos, se ha producido un cambio de paradigma. Entre las medidas acordadas, destacan la eliminación de las cartas de menú de uso común en el sector de la hostelería y la restauración, o de los trípticos informativos en museos u oficinas de turismo, entre otras.

Entre las alternativas que se han presentado para sustituir estos elementos, tenemos las aplicaciones para dispositivos móviles o el uso de códigos QR (en inglés Quick Responde o de respuesta rápida). Gracias a estos cambios se evita que los clientes o usuarios mantengan contacto físico con todos aquellos elementos que pueden ser utilizados por más de una persona.

En el caso de los códigos QR es necesario disponer de una herramienta o app que permita su lectura, pero ¿realmente te has planteado si esta alternativa es segura para tus clientes, desde el punto de vista de la ciberseguridad?

¿Qué son y para qué se usan?

Los códigos QR están formados por módulos bidimensionales compuestos por puntos diferenciados entre sí por colores de un alto contraste en los que se almacena distinta información, pudiendo ir desde unos pocos caracteres hasta varios miles. Algunos expertos lo consideran una evolución del tradicional código de barras, además se encuentra estandarizado por la norma ISO/IEC 18004:2015.

Entre los usos que pueden tener destacan:

  • La inserción de un enlace para acceder a una página web (campaña de marketing) a información turística o a los servicios y productos de un establecimiento.
  • La inserción de la información de la red de una conexión wifi (el nombre de la red o SSID, la contraseña de acceso, y el tipo de cifrado que utiliza la red).
  • El acceso directo a la descarga de aplicaciones en mercados oficiales o de la web del fabricante.
  • Protección de contenido alojado en documentos confidenciales.
  • Generación de contraseñas de un solo uso (OTP) o códigos cifrados para el acceso a servicios como, por ejemplo, WhatsApp Web. También destaca como doble factor de autenticación para bastionar el acceso a determinados productos y servicios online.
  • Para garantizar la trazabilidad de los productos en el sector del transporte y la logística.
  • En los países asiáticos está extendido su uso como forma de pago a través del móvil en clara competencia con el NFC.
  • Para acceder a sistemas de transporte (autobús, avión, etc.), zonas de ocio (conciertos, museos, exposiciones, etc.) o a zonas reservadas para clientes y usuarios como, por ejemplo, la sala de espera vip de una compañía aérea.

Amenazas y riesgos a través de códigos QR

Entre los riesgos que pueden sufrir los clientes debido al uso de estos códigos en tu negocio, destacan los siguientes:

  • Ataques de tipo phishing (Qrishing): Esta técnica se combina junto con la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje o correo electrónico. El usuario al escanearlo es redirigido a una página web, que suplanta a la de la empresa y solicitando información confidencial. Hay que tener en cuenta que si el usuario no verifica la dirección web, puede ser engañado fácilmente.
  • Descarga de malware o inyección de código malicioso: Mediante el uso de sitios web maliciosos para distribuir malware contra los usuarios de dispositivos móviles, a través de la inyección de código malicioso (mediante un exploit presente en la página web a la que redirige el código QR) o de un ataque Drive by download. Se caracteriza por la descarga de manera forzada de software malicioso cuando el usuario visita el sitio web. El sitio web malicioso está diseñado para explotar las vulnerabilidades presentes en el dispositivo a nivel de software (sistema operativo, navegador u otro tipo) pudiendo realizar múltiples acciones maliciosas, como unirse a una botnet (por ejemplo, para realizar un ataque DDOS contra un sitio web legítimo), filtrar la información confidencial, suscribirse a servicios premium o visualizar anuncios de forma silenciosa sin que el usuario lo sepa, obtener acceso a diferentes elementos del dispositivo (micrófono, cámara…), acceder a los datos del navegador o enviar correos electrónicos. Todas estas acciones ocurren en segundo plano, por lo que los usuarios no son conscientes de estos comportamientos.
  • Qrljacking o secuestro de sesión: Este tipo de ataque se caracteriza por hacer uso de la ingeniería social para secuestrar la cuenta de un servicio que acepte la función “Inicio de sesión con código QR”. Para ello tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original que ha sido capturado previamente por los ciberdelincuentes. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta. La demostración más famosa de este ataque tuvo como ejemplo el servicio de WhatsApp web.

Consejos y recomendaciones

Entre las recomendaciones y buenas prácticas que debes tener en cuenta en tu negocio para que tanto tu como tus clientes evitéis ser víctimas de dichos ataques, destacan:

  • Comprobar de forma frecuente que los códigos QR presentes en tu negocio no han sido cambiados ni modificados por terceras personas.
  • Elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc.
  • Comprobar que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos apps de lectura que permitan consultar la URL antes de abrirla.
  • Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta manera se podrá comprobar la dirección a la que enlaza el código. Solo se abrirá en el caso de que demos permiso para acceder
  • Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio.
  • En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgues el código QR por redes sociales ya que podrías ser víctima de un fraude.

Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.


Enlace de referencia: https://www.incibe.es/protege-tu-empresa/blog/protege-los-codigos-qr-y-no-pongas-riesgo-seguridad-tus-clientes

CATEGORÍAS: Incibe, Seguridad