Código QR: así lo aprovechan los ciberdelincuentes para robarte

Un hombre escanea un código QR en un restaurante.
Enrique González Herrero

El código QR se aprovecha cada vez más como un recurso ágil y rápido para acceder a diferentes servicios a través del teléfono móvil. Simplemente con abrir la cámara del dispositivo o una aplicación específica, el usuario puede escanear el código y beneficiarse de alguno de sus múltiples usos. Sin ir más lejos, con la actual pandemia del COVID-19 muchos restaurantes recurren a este método para que los clientes consulten la carta. Sin embargo, como toda tecnología conectada a la Red, este sistema no está exento de muchos riesgos.

España es el país de Europa donde el código QR tiene más aceptación. Según un estudio de la empresa Mobileiron, un 90 por ciento de españoles reconoce haber escaneado alguna vez uno de ellos y un 75 por ciento no tendría inconveniente en utilizarlo como forma de pago. Entre las cifras del informe, un 44 por ciento de usuarios admite haber escaneado un código QR que hizo algo inesperado o le condujo a una web sospechosa.

Los ciberdelincuentes también perciben el auge de este método y saben que en numerosas ocasiones las personas hacen escaneos sin la cautela pertinente. “Si no tenemos seguridad, se puede utilizar el código QR para espiarnos, extorsionarnos o robarnos información. Un móvil es un ordenador de bolsillo, lo usamos más que los portátiles. Quieren robarnos a nosotros, pero también a  las empresas para las que trabajamos”, explica Daniel González Fernández, Senior Key Account Manager de Mobileiron Iberia.

¿Cómo aprovechan los ‘malos’ el código QR?

Uno de los problemas que atribuye González a la vulnerabilidad que representa un código QR es el desconocimiento de los usuarios. Según explica este profesional, por lo general las personas asocian a este código dos o tres utilidades de las muchas que tiene, que suelen ser acceder a una página web o descargar un archivo. Sin embargo, los ciberdelicuentes pueden aprovecharlos “para abrir el GPS del dispositivo, ejecutar un pago o instalarnos una aplicación”.

Un ejemplo. Ya se han producido casos en los que los delincuentes pegan un código QR en el escaparate de una tienda a través del cual el usuario accede a una falsa página web que suplanta a la marca en cuestión. A través de ella puede incluso acceder a una pasarela de pago para adquirir alguno de los productos que aparecen, si bien el dinero acabará en el bolsillo incorrecto.

Otro de los métodos que podrían aprovechar es falsear el código QR que suelen tener los router domésticos. Si los malos consiguen colocar un falso código, el usuario podría sufrir un ataque Man in the Middle y tener expuesta toda la información de la red de su casa.

Los delincuentes también pueden conseguir mediante uno de estos códigos que el usuario se conecte a una red wifi desde la que pueden monitorizar y acceder a toda su información.

Amenaza para las empresas

El entorno corporativo es especialmente sensible a los riesgos derivados del código QR. Si los empleados no están protegidos frente a este tipo de ataques, los ciberdelincuentes podrían conseguir mucha información a través de sus teléfonos móviles. En este sentido, las empresas suelen poner el foco de su preocupación en la privacidad de sus directivos para evitar que alguien acceda a su información o conversaciones.

Sin embargo, una de las prácticas detectadas por Mobileiron es el robo de listas de empleados de grandes organizaciones. A través de un código QR, los ciberdelincuentes pueden acceder a la agenda de su víctima y, de ahí, conseguir llegar a otros contactos alojados en el servidor de la empresa. “Así han atacado a ministerios o grandes compañías aeronáuticas, para luego vender esos datos a la competencia…”, explica González.

En definitiva, desde las empresas proveedoras recomiendan precaución, sentido común y protección específica para este tipo de riesgos. “No podemos dejar en manos del usuario el criterio para saber si el código QR es bueno o malo. O decirle que todos los QR son malos, porque estaríamos poniendo palos en las ruedas de las tecnologías.Tenemos que implementar herramientas que sean inteligentes y ayuden al usuario a detectar los QR maliciosos, porque hay muchas iniciativas puestas en esta tecnología”, concluye el Senior Key Account Manager de Mobileiron.

Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad