hacia programas o sitios Web maliciosos. Aprovechan que las aplicaciones de lectura de los mencionados códigos pueden proporcionar un vínculo directo hacia otras capacidades de ese mismo dispositivo, tales como e-mail, SMS, servicios de localización o instalación de aplicaciones, lo que incrementa el riesgo potencial para estos dispositivos.
Los códigos QR usados por los cibercriminales pueden estar contenidos en un correo electrónico o estar insertados en documentos físicos de aspecto verosímil, como folletos en una feria comercial. Aunque los tipos de estafa son múltiples, en un nivel básico, el código podría dirigir al usuario a un sitio Web falso para cometer phising, como una tienda on-line falsa o un sitio Web de pago.
Sin embargo, los ataques más sofisticados permiten el uso por parte del hacker de los códigos QR para dirigir a las víctimas a sitios Web que “liberarían” su dispositivo móvil, es decir, que permitirían el acceso al directorio raíz del sistema operativo para la instalación de malware. Esto lo convertiría en un ataque del tipo ‘drive-by-downloads’ en el propio terminal, que permitiría instalar software adicional, como registros de claves o seguimiento vía GPS, sin el conocimiento del propio usuario.
En esta situación, uno de los mayores riesgos con la lectura de códigos QR puede ser el uso de la banca móvil y los pagos realizados a través de smartphones, ya que la capacidad que tienen los códigos contaminados para “liberar” los dispositivos y aprovecharse de sus aplicaciones puede dar a los hackers un acceso virtual como “carteristas” a las aplicaciones de pago de los dispositivos.
Mitigar los riesgos
Chek Point sugiere que la precaución más importante a tener en cuenta para mitigar los riesgos asociados a estos códigos, es la de ser capaz de establecer con exactitud qué enlace Web o recurso se va a poner en marcha cuando el código QR sea escaneado. Algunas aplicaciones de escaneo de códigos QR (no todas) ofrecen esta visibilidad y piden confirmación de si se desea realizar la acción. Esto da la oportunidad de evaluar la validez del vínculo antes de que el código sea activado.
En el ámbito corporativo, y con base en una encuesta elaborada por la compañía de seguridad, en los últimos dos años se ha duplicado el número de dispositivos móviles conectados a redes empresariales, las medidas para reducir las amenazas que nos ocupan pasan por el despliegue de soluciones de cifrado de datos de modo que, incluso en el caso de que un código QR malicioso instale un troyano en el dispositivo, la información confidencial estará aún protegida y no será accesible ni utilizada de forma inmediata por los hackers.
“Nos encontramos ante una amenaza creciente y que, dado el uso actual de la telefonía móvil ha de tomarse como una prioridad, tanto para los usuarios particulares como para las empresas. Si bien los ataques cuya finalidad es ‘liberar’ los dispositivos son todavía minoritarios, estamos convencidos de que crecerán a medida que se extienda y aumente la aceptación pública de los códigos QR”, asegura Mario García, director general de Check Point.
Si (
No(
