evitá ataques que pongan en riesgo tu celular
La admisión de esta útil ha hecho que los ciberdelincuentes en todo el mundo busquen nuevas técnicas para engañar a los usuarios
Los códigos de respuesta rápida o QR ganaron popularidad en la pandemia del coronavirus como una alternativa para alcanzar a diferentes contenidos y realizar trámites sin contacto. Menús en restaurantes, tiquetes de avión, recibos de servicios públicos, boletos de cine, entre otros, ya cuentan con esta tecnología.
Aunque este mecanismo no es nuevo, porque fue creado por el ingeniero Masahiko Hara, de la empresa Denso Wave en 1994 como una alternativa más eficaz a los códigos de barras, su uso se ha ampliado en la última plazo a diferentes sectores y permite aclarar sitios web, descargar aplicaciones, hacer pagos y transferir plata.
La admisión de esta útil ha hecho que los ciberdelincuentes en todo el mundo busquen nuevas técnicas para engañar a los usuarios por medio de este mecanismo. «Los códigos QR se utilizan como enlaces web, es por esto que utilizarlos de cierta forma expone a los mismos riesgos que hay en internet, es opinar que estas simples URL todavía pueden ser modificadas para redirigir a un afortunado a otra página web con fines maliciosos. Esta es una técnica de ingeniería social muy utilizada y en la que el afortunado entiende que ingresó a una página segura, pero fue reemplazada por una maliciosa ocasionando que pueda ser una potencial víctima de phishing o de algún malware», explicó Sol González, experta en ciberseguridad de la empresa Eset Latinoamérica.
Entre las posibilidades que tienen los atacantes al hacer uso de códigos QR están la de elevar los permisos del administrador en el teléfono e instalar un software o aplicación con virus en el dispositivo. También pueden despachar al afortunado a una página falsa para robar códigos de camino o ingresar a las aplicaciones de cuota del celular y realizar transacciones que deriven en robos.
El código QR se utiliza en transacciones comerciales.
Las amenazas
Una de las modalidades que ha cobrado fuerza es el QRLjacking, un ataque en el cual un afortunado de WhatsApp es víctima del secuestro de su cuenta en la plataforma. «Este es un simulación que se destaca por secuestrar la sesión a través de ingeniería social, para ello suplantan servicios como el de WhatsApp Web, con narración al ‘Inicio de sesión con código QR’. Se reemplaza el código QR innovador, y se inserta un código QR que le posibilita al atacante robar las credenciales de la sesión del afortunado y alcanzar a la cuenta», explicó González, citada por el diario colombiano El Tiempo.
A esto se suma otra técnica por medio de la cual el afortunado al escanear el código QR ladino carga e inicia automáticamente una emplazamiento telefónica a un número que ya está predefinido y es de los atacantes.
Esto permite que el delincuente se quede con la información del identificador de llamadas, {algo} que puede gestar otros ataques como el SIM Swapping, a través del cual se genera un duplicado de la plástico SIM y el atacante se queda con el camino a la línea, celular de la víctima.
También se han observado modalidades de phishing o expedición de correos maliciosos que explotan esta útil. En este caso, detalló Roberto Martínez, analista sénior de ciberseguridad de la empresa Kaspersky, el delincuente lleva al afortunado a través del código QR que está en el correo a un sitio web copiado en donde se solicita el inicio de sesión de una red social o una sucursal aparente bancaria.
«Es popular que los atacantes utilicen enlaces cortos, por lo que es más difícil detectar uno copiado cuando el smartphone solicita la confirmación», agregó, citado por el mismo medio colombiano.
Pero esta no es la única modalidad, todavía se ha observado –destacó el diestro de Kaspersky– que por medio de esta tecnología los «defraudadores pueden sumar información de contacto en la cartilla de la víctima con el nombre ‘Banco’ para cobrar credibilidad en una emplazamiento con el fin de estafar; podrían todavía hacer una emplazamiento por cobrar, o simplemente pueden {saber} la ubicación de la persona en caso de que quieran realizar otra actividad criminal».
El código QR se aplica todavía en el marketing.
¿Qué hacer?
Para advertir cualquiera de estos ataques es importante que desconfíes siempre de los códigos que vas a escanear y tomes medidas antes, de alcanzar a ellos. «Antes de escanear se debe comprobar la URL al ingreso, esto se puede realizar deshabilitando, en el caso de los dispositivos móviles, la tolerancia cibernética de los enlaces al escanear estos códigos», dijo Sol González.
Hacé uso de herramientas como Google Lens, que permite visualizar el enlace antes, de ingresar. Hay aplicaciones gratuitas de reconocidas compañías de antivirus que permiten revisar los códigos en el teléfono para descartar que se trate de un ataque. Por final, use antivirus en tu celular, lo que le permitirá rodear cualquier infracción en la seguridad.