La gran comodidad de escanear un código QR es siempre la alternativa que mas nos gusta a todos. Los menús de los restaurantes, las instrucciones en cualquier cosa, los anuncios en cualquier medio nos ofrecen emplear escanear con la cámara de nuestro teléfono móvil todo, de forma rápida y ágil (de allí que “QR” viene del inglés “Quick Response” o Respuesta rápida).
Sin embargo, los maleantes han encontrado en este tipo de elementos de comunicación, un campo libre para engañar a las personas y provocar que descarguen código malicioso o poder robar su información o identidad.
Esta modalidad se conoce como Quishing, y viene de la mezcla de QR y phishing.
La gama de riesgos es muy amplia. Lo mismo pueden ser engaños de pagos, de donaciones, de correos electrónicos o el provocar la descarga de lo que pensamos que es un archivo de información y realmente es un programa maligno para provocar el secuestro de la información, el control remoto de nuestro dispositivo o la extracción sin permiso de información delicada.
Quishing hará por ejemplo que vayamos a un sitio de la web que creemos que es real, y en realidad es un sitio falso donde pensamos ingresar nuestra información y lo que estamos haciendo es regalársela a un maleante.
¿Cómo sucede un ataque de Quishing?
Principalmente en estos ataques, los maleantes diseñan un sitio convincente para hacer pensar a la víctima que se está conectando al lugar que realmente piensa que es seguro, como podría ser, por ejemplo, su banco.
Ya en este sitio, que se comporta igual que su banco, se le pide identificarse, y al hacerlo, se están haciendo de los nombres del cliente y contraseñas.
Todo esto ocurre porque no vemos realmente la dirección de internet donde estamos, pues la comodidad de escanear el QR nos aparenta una falsa seguridad de estar donde creemos que es seguro estar.
En otros casos, genuinamente pensamos que estamos por descargar algo que queremos, y en realidad estamos bajando programas malignos.
A veces, los maleantes empalman en información existente en lugares seguros un QR diferente al de ese lugar. Nosotros no percibimos que esa etiqueta está sobrepuesta y por estar donde creemos estar seguros, por ejemplo, un restaurante que nos invita a descargar su menú, lo hacemos sin pensar que fuimos manipulados con información falsa.
¿Cómo protegernos del Quishing?: 9 puntos clave
Como siempre, el sentido común juega un papel importante cuando sentimos que “algo anda mal” con la información de un QR que estamos a punto de escanear. Sin embargo, podemos identificar puntos concretos para evitar ser víctimas del Quishing, tales como:
1. Educación
Capacitar a los empleados y usuarios sobre los riesgos de los códigos QR y cómo identificar posibles señales de peligro.
2. Verificación de la Fuente
Enseñarles a las personas a verificar la autenticidad del código QR, como asegurarse de que proviene de una fuente confiable.
3. Aplicaciones de Escaneo de QR Seguras
Recomendar el uso de aplicaciones de escaneo de QR que muestren la URL completa antes de abrirla, permitiendo a los usuarios verificar si es legítima.
4. Filtros de URL y Firewalls
Configurar filtros de URL que bloqueen el acceso a sitios maliciosos conocidos, incluso si los usuarios accidentalmente escanean un código QR malicioso.
5. Políticas de Uso de Códigos QR
Implementar políticas claras en la empresa sobre el uso y la verificación de códigos QR. Por ejemplo, evitar que los empleados escaneen códigos QR desde fuentes no verificadas.
6. Procedimientos de Reporte
Establecer un procedimiento claro para reportar cualquier código QR sospechoso o incidentes de seguridad relacionados.
7. Autenticación Multifactor (MFA)
Usar MFA en los sistemas críticos. Esto puede prevenir que un atacante acceda a información confidencial incluso si un usuario cae en un ataque de quishing, pues el sistema pedirá una segunda forma de identificación.
8. Supervisión y Detección de Amenazas
Utilizar software de seguridad que supervise la red y detecte cualquier actividad inusual, como redirecciones a sitios maliciosos después de escanear un código QR.
9. No Escanear Códigos QR Sospechosos
No escanear códigos QR de fuentes desconocidas o en lugares donde podría haber riesgo de manipulación, tal como sería el caso de lugares públicos
Conclusión
La idea no es dejar de emplear los QR, son prácticos, evitan tiempo y errores, pero por igual, haciendo caso a las recomendaciones anteriores se podrá prevenir el intento de lo maleantes de provocarnos algún problema.
Mpolishuk's Blog 