Red de información TI para profesionales ITMedia NetWork

jueves, 30 de junio de 2022
Actualizado a las 15:59


Búsqueda avanzada

Publicidad

Publicidad

Opinión

Códigos QR: Una furtiva amenaza a la seguridad

12 Diciembre 2020por Brian Foster, vicepresidente de Gestión de Productos de MobileIron

La proliferación de códigos QR, como ‘atajo’ cómodo y sencillo para acceder desde el móvil a informaciones, funciones o webs ha despertado el interés de los ciberdelincuentes convertidos en vía sencilla de difundir malware. Brian Foster, vicepresidente de Gestión de Productos de MobileIron, analiza el fenómeno y señala aspecto a tener en cuenta para protegerse de versiones maliciosas de los códigos QR .

Brian Foster

Brian Foster

Los códigos QR están por todas partes, sin duda. Desde que la industria automotriz japonesa los utilizó por primera vez para agilizar los procesos de fabricación, las empresas de todo el mundo han aprovechado sus beneficios: son baratos de desplegar y se pueden aplicar a casi cualquier ámbito.

De hecho, todas las industrias y organizaciones, desde la venta al por menor hasta la sanidad, los aplican como una forma rápida y sencilla de vincular clientes, usuarios y consumidores a sitios web, campañas promocionales, descuentos en tiendas, historiales médicos o pagos por móvil, entre otras muchas.

Los códigos QR no sólo son económicos y fáciles de usar. También son esenciales, especialmente durante la pandemia cuando las transacciones sin contacto se han convertido en la norma. Es más, al menos el 81% de los estadounidenses disponen en la actualidad de un teléfono inteligente, y casi todos esos dispositivos pueden leer de forma nativa los códigos QR sin necesidad de una aplicación de terceros. Por lo tanto, puede concluirse que los códigos QR están teniendo su momento.

Hay que eliminar el acceso a las aplicaciones y a la nube basado en contraseñas, una de las principales causas de la violación de datos: la autenticación multifactorial sin contraseñas no sólo se elimina la amenaza de las contraseñas robadas sino también el engorro de mantenerlas, lo que hace que todo el mundo (excepto los hackers) esté mucho más tranquilo y sea más productivo

Brian Foster

Lo que los números dicen (pista: nada bueno)

Mi compañía, MobileIron, quería entender mejor las tendencias actuales de los códigos QR, así que en septiembre realizamos una encuesta a más de 2.100 consumidores de Reino Unido y Estados Unidos, constatando que en los últimos seis meses, más de un tercio de los usuarios de móviles escaneó un código QR en un restaurante, bar, tienda o en un producto de consumo.

Los resultados también pusieron de relieve algunas tendencias alarmantes: los usuarios de móviles no entienden realmente los riesgos potenciales de los códigos QR, y casi tres cuartos (71%) no pueden diferenciar entre un código QR legítimo de uno malicioso.

Al mismo tiempo, más de la mitad (51%) de los encuestados reconocen que no tienen (o no saben si tienen) seguridad móvil en sus dispositivos.

Como tantas cosas que parecen formar parte de nuestras vidas desde siempre, no pensamos mucho en estos códigos: los dispositivos móviles nos condicionan a realizar acciones rápidas -pase, toque, haga clic, pague- mientras nos distraemos con otras cosas como el trabajo, las compras, la comida (y, lamentablemente, sí, la conducción).

Este es exactamente el tipo de confianza implícita y acción irreflexiva en la que prosperan los hackers. Y es por eso que, si los empleados móviles están usando sus dispositivos personales para acceder a aplicaciones empresariales y escanear códigos QR potencialmente peligrosos, el departamento de TI de la empresa debería empezar a examinar más de cerca su modelo de seguridad móvil.

¿Y cuáles son exactamente los riesgos?

Hackear un código QR real requeriría algunas habilidades serias para hacer cambios alrededor de los puntos pixelados en la matriz del código. Los ciberdelincuentes han descubierto un método mucho más fácil en su lugar: incrustar software malicioso en los QR (que pueden ser generados por herramientas gratuitas, disponibles en Internet).

Para el usuario medio, todos los QR parecen iguales, pero uno malicioso puede llevarte a un sitio web falso. También puede capturar datos personales o instalar software malicioso en un teléfono inteligente y que este inicie acciones como:

  • Añadir una nueva lista de contactos en el teléfono del usuario y utilizarla para lanzar un spear phishing u otro ataque personalizado.
  • Realizar llamadas telefónicas exponiendo el número de teléfono a actividades que desconoce el propietario del dispositivo.
  • Enviar mensajes de texto: Además de enviar un mensaje de texto a un destinatario malintencionado, los contactos de un usuario también podrían recibir el texto malintencionado de un estafador.
  • Mansajes de correo electrónico: De manera similar al los SMS de texto malicioso, un QR con malware puede redactar un correo electrónico, completando las líneas de destinatario, asunto y cuerpo del mensaje y dirigirlo a la dirección de email del trabajo del usuario, si el dispositivo carece de protección contra amenazas móviles.
  • Realizar un pago: Un QR malicioso, podría llevar a cabo un pago de forma automatiazada, o facilitar a un cibedelincuente hacerlo, capturando datos financieros y personales del usuario.
  • Revelar la ubicación: El software malicioso puede rastrear la geolocalización del usuario y enviar estos datos a una aplicación o sitio web.
  • Seguir de los medios sociales: Las cuentas de los medios sociales del usuario pueden ser dirigidas a seguir una cuenta maliciosa, que puede entonces exponer la información personal y los contactos del usuario.
  • Añadir una red Wi-Fi preferida: Una red comprometida puede añadirse a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red.

Cosas fáciles para minimizar los riesgos

Por muy aterradoras que parezcan estas hazañas, no son inevitables. Educar a los usuarios sobre los riesgos de los códigos QR es un buen primer paso, pero las empresas también deben intensificar su juego de seguridad móvil para protegerse contra amenazas como el spear phishing y la adquisición de dispositivos.

Lo qué se pueden hacer

Primero, echar un vistazo: Asegúrse de que el QR es legítimo, especialmente los códigos impresos, que pueden ser pegados con un código diferente (y potencialmente malicioso).

Escanear sólo códigos de entidades de confianza: Los usuarios de móviles deben atenerse a códigos QR que provienen de remitentes de confianza. Presta atención a líneas rojas, como una dirección web que difiere de la URL de la empresa: hay una buena posibilidad de que se enlace a un sitio malicioso.

Tenga cuidado con los enlaces bit.ly: Compruebe la URL de un enlace bit.ly que aparece después de escanear un código QR. Estos enlaces suelen utilizarse para disfrazar URL maliciosas, pero se pueden previsualizar de forma segura añadiendo un símbolo de más ("+") al final de la URL.

Lo que pueden hacer las empresas

Es de esperar que su empresa utilice una solución de defensa contra amenazas móviles en el dispositivo que pueda proteger contra los ataques de phishing, la adquisición de dispositivos, ataques de intermediarios y las descargas de aplicaciones maliciosas(si no, ¡comience a buscar una ahora!).

Necesita asegurarse de que está implementada en cada dispositivo que acceda a las aplicaciones y datos de la empresa, porque la seguridad de la empresa sólo es tan buena como su eslabón más débil.

Por último, eduque a los usuarios sobre lo que protege (y también sobre lo que no protege).

Si no se hace nada más, ahora es el momento de considerar la eliminación del acceso a las aplicaciones de negocio y de la nube basado en contraseñas, que hoy en día es una de las principales causas de la violación de datos. Al pasar a la autenticación multifactorial sin contraseñas, no sólo se elimina la amenaza de las contraseñas robadas sino también el engorro de mantenerlas, lo que hace que todo el mundo (excepto los hackers) esté mucho más tranquilo y sea más productivo.

(*) Brian Foster es vicepresidente de Gestión de Productos de MobileIron

ShareThis

Publicidad

Publicidad

Publicidad

Análisis

ADEFAM y Conexus analizan los riesgos de la empresa familiar ante la ciberdelinciencia

La jornada sobre ciberseguridad y desinformación organizada por la Fundación de Empresarios de la Comunidad Valenciana en Madrid (Conexus) y la Asociación de la Empresas Familiar de Madrid (ADEFAM), ha reunido a expertos procedentes del mundo empresarial y de las Administraciones Públicas, poniendo de relieve la importancia que tiene para el mundo de la empresa y de los negocios trabajar en el concepto de la ‘confianza digital’ como factor de credibilidad y competitividad en el actual entorno digital

Soluciones

Seresco participa en el proyecto CIP - Olive para el cultivo eficiente de olivares en Egipto

Seresco participa, junto a empresas españolas y de Egipto, en el proyecto CIP - Olive de agricultura de precisión, financiado por el CDTI y el ITIDA egipcio, que contempla el desarrollo de un sistema integrado de IoT basado en la nube y que permitirá controlar los principales problemas que se presentan en los olivares, como son plagas e infecciones

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2022 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar