Cómo proteger los códigos QR para no comprometer la seguridad de tus clientes

Guardar

Códigos QR QRishing
Códigos QR QRishing

El uso de los códigos QR ha experimentado un notable auge como herramienta para cumplir con las normas sanitarias establecidas por el Ministerio de Sanidad para evitar la propagación de la pandemia de la Covid-19.

Sectores como la hostelería, el transporte o el turismo ya los aplican para evitar que los clientes o usuarios mantengan contacto físico con todos aquellos elementos que pueden ser utilizados por más de una persona, como los menús de los restaurantes o los trípticos informativos de los museos. Sin embargo, el Instituto Nacional de Ciberseguridad (INCIBE) ha dedicado un artículo a advertir que los códigos QR pueden acarrear riesgos para los clientes y a ofrecer una serie de consejos para impedirlos.

Qué son los códigos QR y para qué se utilizan

INCIBE comienza explicando qué son los códigos QR, Quick Response en inglés. "Los códigos QR están formados por módulos bidimensionales compuestos por puntos diferenciados entre sí por colores de un alto contraste en los que se almacena distinta información, pudiendo ir desde unos pocos caracteres hasta varios miles. Algunos expertos lo consideran una evolución del tradicional código de barras, además se encuentra estandarizado por la norma ISO/IEC 18004:2015". Asimismo, señala que puede tener diversos usos entre los cuales destaca los siguientes:

  • La inserción de un enlace para acceder a una página web (campaña de marketing), a información turística o a los servicios y productos de un establecimiento.
  • La inclusión de la información de la red de una conexión wifi (el nombre de la red o SSID, la contraseña de acceso, y el tipo de cifrado que utiliza la red).
  • El acceso directo a la descarga de aplicaciones en mercados oficiales o de la web del fabricante.
  • Protección de contenido alojado en documentos confidenciales.
  • Generación de contraseñas de un solo uso (OTP) o códigos cifrados para el acceso a servicios como, por ejemplo, WhatsApp Web. También destaca como doble factor de autenticación para bastionar el acceso a determinados productos y servicios online.
  • Para garantizar la trazabilidad de los productos en el sector del transporte y la logística.
  • En los países asiáticos está extendido su uso como método de pago a través del móvil, en clara competencia con el NFC.
  • Para acceder a sistemas de transporte (autobús, avión, etc.), zonas de ocio (conciertos, museos, exposiciones, etc.) o a zonas reservadas para clientes y usuarios como, por ejemplo, la sala de espera vip de una compañía aérea.

Amenazas y riesgos a través de códigos QR

Según subraya INCIBE, los clientes pueden sufrir una serie de riesgos debido al uso de códigos QR en los negocios y entre ellos destaca:

  • Ataques de tipo phishing (Qrishing): Esta técnica se combina con la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje o correo electrónico. Al escanearlo, el usuario es redirigido a una página web, que suplanta a la de la empresa y solicita información confidencial. Hay que tener en cuenta que si el usuario no verifica la dirección web, puede ser engañado fácilmente.
  • Descarga de malware o inyección de código malicioso: Mediante el uso de sitios web maliciosos para distribuir malware contra los usuarios de dispositivos móviles, a través de la inyección de código malicioso (mediante un exploit presente en la página web a la que redirige el código QR) o de un ataque Drive by download. Se caracteriza por la descarga de manera forzada de software malicioso cuando el usuario visita la página web, diseñada para explotar las vulnerabilidades presentes en el dispositivo a nivel de software (sistema operativo, navegador u otro tipo) pudiendo realizar múltiples acciones maliciosas. Por ejemplo, unirse a una botnet, filtrar la información confidencial, suscribirse a servicios premium, obtener acceso a diferentes elementos del dispositivo (micrófono, cámara…), acceder a los datos del navegador o enviar correos electrónicos. Todas estas acciones ocurren en segundo plano, por lo que los usuarios no son conscientes de estos comportamientos.
  • Qrljacking o secuestro de sesión: Este tipo de ataque se caracteriza por hacer uso de la ingeniería social para secuestrar la cuenta de un servicio que acepte la función "Inicio de sesión con código QR". Para ello, intentan engañar a la víctima para que escanee un código QR modificado que suplanta al original y que ha sido capturado previamente por los ciberdelincuentes. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta. La demostración más famosa de este ataque tuvo como ejemplo el servicio de WhatsApp web.

Consejos y recomendaciones para evitar estos ataques

Por último, INCIBE aporta una serie de recomendaciones y buenas prácticas para que los negocios se protejan tanto a ellos mismos como a sus clientes de estos ataques:

  • Comprobar frecuentemente que los códigos QR presentes en los negocios no han sido cambiados ni modificados por terceras personas.
  • Elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc.
  • Cerciorarse de que el código QR redirige a la página web indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello, se pueden usar apps de lectura que permitan consultar la URL antes de abrirla.
  • Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta forma, se podrá comprobar la dirección a la que enlaza el código. Solo se abrirá en el caso de que demos permiso para acceder.
  • Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio.
  • En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgar el código QR por redes sociales ya que podrías ser víctima de un fraude.