Aunque los códigos QR existen desde hace más de 25 años, su uso en la vida cotidiana ha aumentado dramáticamente desde que comenzó la pandemia. ¿Pero siempre es seguro escanearlos?? Casi no nos lo pensamos dos veces a la hora de escanear un código QR en un restaurante para ver una carta o pagar una comida. Pero los estafadores han empezado a aprovecharse de nuestra confianza en los códigos QR. Como resultado, El phishing de códigos QR es una creciente amenaza a la ciberseguridad. En este artículo, te diremos qué es, cómo funciona, y cómo protegerse del fraude con códigos QR.
¿Qué son los códigos QR??
Un código de respuesta rápida (Código QR) es una imagen que puede contener 7089 números o 4296 caracteres. Originalmente los códigos QR eran sólo etiquetas para objetos físicos.. En la década de 1990, La industria automovilística japonesa comenzó a utilizarlos para rastrear vehículos y componentes en producción.. Pero como los códigos QR son legibles por máquinas y pueden almacenar información, Posteriormente se utilizaron para enviar datos a un teléfono inteligente..
Aunque el tipo de datos contenidos en un código QR puede ser diferente, a menudo es solo un enlace a un sitio web. Por ejemplo, en iOS, la aplicación Cámara detectará automáticamente el código QR cuando pases el cursor sobre él. Se le pedirá que abra la URL vinculada en su navegador web predeterminado.. En primer lugar, esto es lo que debes recordar sobre los códigos QR: normalmente no son más que simples enlaces web. Y como veremos, Esto tiene profundas implicaciones en materia de ciberseguridad..
¿Qué es el phishing con códigos QR??
Hoy en día, muchas herramientas pueden reconocer y eliminar enlaces maliciosos que pueden conducir a suplantación de identidad sitios o malware. Sin embargo, la mayoría de ellos aún no pueden comprobar códigos QR maliciosos, por lo que los ciberdelincuentes han comenzado a utilizarlos con más frecuencia en sus esquemas. El phishing con códigos QR es muy similar a otras formas de phishing. es una ingenieria social Ataque diseñado para lograr que las personas entreguen información personal., ya sean credenciales de inicio de sesión o información financiera. El phishing de códigos QR no es nada nuevo. La diferencia es que utiliza un código QR para llevar a la víctima a un sitio web malicioso.. Como cualquier otro phishing attack, su único propósito es lograr que ingrese su información confidencial, como número de seguro social, información de inicio de sesión del banco, credenciales de correo electrónico, más o menos.
Amenazas que pueden plantear los códigos QR
Así que, Parece evidente que confiamos instintivamente en los códigos QR., pero ¿deberíamos? Necesitamos examinar Cómo los códigos QR pueden representar una amenaza para responder esa pregunta. Esta investigación ha revelado cómo los hackers pueden manipular Códigos QR para robar tu información personal, abriendo el camino para que las organizaciones sean pirateadas. Estos últimos deberían animar a sus empleados a tener cuidado con quién ofrecen información personal., incluida la verificación doble de la dirección web a la que fueron enviados mediante un código QR que coincida con lo que esperan.
Inscribirse en una feria de empleo, participando en un concurso, o una encuesta puede parecer una razón legítima para compartir su información personal. Sin embargo, Verificar dos veces la dirección web debería ayudar a confirmar su autenticidad.. Si la dirección web no se parece a cómo debería verse el sitio web de la organización, no confíes en ello. Un código QR puede enviar al usuario a una versión falsa de una tienda de aplicaciones móviles. A través de este ataque, es posible acceder al teléfono del usuario, personal (o confidencial corporativo) mensajes, Ubicación GPS, e incluso cámara. Esto puede amenazar seriamente cualquier negocio., arriesgar los datos de la empresa y dejarlos expuestos a un ataque devastador. Las organizaciones deberían interesarse por sus empleados’ seguridad personal animándolos a verificar el origen de las aplicaciones o descargas para evitar que el juego sucio los afecte.
Los famosos ataques con códigos QR
- En China, Fueron capturados estafadores que colocaban multas de estacionamiento falsas con códigos QR para pagar cómodamente con la ayuda de teléfonos móviles en los coches aparcados..
- En los Paises Bajos, Los estafadores utilizaron una función legítima de una aplicación de banca móvil para estafar a los clientes del banco con códigos QR..
- En Alemania, Correos electrónicos falsos que contenían códigos QR atrajeron a los clientes de banca electrónica a sitios web maliciosos con el pretexto de revisar las actualizaciones de la política de privacidad de sus cuentas..
- En Texas, Los delincuentes pegaron pegatinas con códigos QR maliciosos en los parquímetros de la ciudad.. Por aquí, engañaron a los residentes para que ingresaran los datos de su tarjeta de crédito en un sitio de phishing falso.
Con el aumento de tales ataques, Es necesario crear conciencia y hacer más para evitar que la gente caiga en la trampa de los atacantes.’ trucos.
Cómo protegerse a sí mismo y a su organización
No es muy diferente de cómo solíamos revisar los correos electrónicos y los textos extraños.. Sin embargo, Necesitamos aprender a ser más exigentes con los códigos QR..
- no escanear! Confía en tus instintos. Si un código parece sospechoso, no lo escanees. Debajo de cualquier código QR legítimo, debe haber una URL a la que se refiere el código QR. De esa manera, puedes ingresarlo directamente o a través de un buscador. Una URL faltante debería generar sospechas.
- Desacelerar. Tómate un segundo para analizar las circunstancias antes de escanear.. ¿Sabes exactamente quién publicó el código QR allí?? ¿Puedes creer que no ha sido manipulado?? ¿Existe siquiera la necesidad de utilizar un código QR en esta situación??
- Comprueba atentamente las URL del código QR. Como con un sitio web complicado, verifique la URL a la que se le envía antes de continuar. Si parece sospechoso, mal escrito, o no coincide con la organización a la que intenta acceder, no abras el enlace. Por ejemplo, en la estafa del parquímetro en Texas, parte de la URL utilizada fue «pasaportelab.xyz»-No parece un sitio web oficial del gobierno..
- Busque signos de manipulación física. Una forma sencilla de ganarse su confianza es engañar al uso legítimo de un código QR, como en un estacionamiento. Así que, Piense detenidamente si hay signos de manipulación., como una pegatina sobre otro código.
- Nunca descargues aplicaciones desde códigos QR. Los atacantes pueden clonar y manipular sitios web fácilmente. En cambio, Vaya siempre a la tienda de aplicaciones oficial de su dispositivo para descargar la aplicación..
- No realices pagos utilizando códigos QR. En cambio, usar una (descargado de forma segura) aplicación propietaria o busque en línea un sitio de pago oficial.
- Permitir autenticación multifactor (Ministerio de Asuntos Exteriores). Si hay un ataque involuntario a cualquiera de estos, MFA evitará que un atacante acceda a sus cuentas (cuentas de correo electrónico o redes sociales) con un simple inicio de sesión y alertarlo sobre el intento sospechoso.
Cuando se trata de códigos QR, el mejor consejo es siempre usar el sentido común. Será mejor que lo pensemos dos veces antes de los correos electrónicos un poco extraños., llamadas, y mensajes de texto que recibimos, darse cuenta de que pueden tener un propósito malicioso oculto. De alguna manera los códigos QR han escapado a este escrutinio adicional, y cada vez más personas los escanean sin pensarlo dos veces, pero es hora de cambiar eso. Escanea de forma segura.