¿Los Ciberdelincuentes realmente usan códigos QR falsos para robar su Información Financiera?
En enero de 2022, el FBI emitió un anuncio de servicio público advirtiendo a las personas sobre una nueva tendencia: supuestamente, los ciberdelincuentes aprovechan los códigos de respuesta rápida (QR) para redirigir a las víctimas a sitios maliciosos que pueden robar sus credenciales e información financiera. Además, el FBI advirtió que los códigos QR pueden contener malware.
Suena bastante preocupante a primera vista, particularmente con tantas empresas que ahora usan códigos QR para brindar servicios sin contacto durante la pandemia. Incluso Jen Easterly, directora de la Agencia de Infraestructura Crítica y Ciberseguridad de EE. UU., tiene un código QR en su tarjeta de presentación, o eso es lo que quizás afirmó en broma en un tuit.
Pero, ¿qué tan preocupado debería estar realmente por los códigos QR como vector de ataque?
En esta publicación de blog, analizamos cómo funcionan los ataques de códigos QR falsos y si es seguro escanearlos.
Cómo funcionan los ataques con códigos QR
Antes de entrar en los mecanismos de amenazas, aclaremos una cosa: los códigos QR en sí mismos no son maliciosos. Los códigos QR son esencialmente códigos de barras de forma cuadrada compuestos por una serie de cuadrados y puntos que representan un código binario. Cuando escanea el código QR con su teléfono inteligente, traduce el código a la forma original de los datos. Los códigos QR se usan comúnmente para dirigir a los usuarios a páginas de destino, descargar aplicaciones y enviar y recibir información de pago. Más recientemente, los códigos QR han desempeñado un papel importante en el seguimiento de la exposición al COVID-19 y en ayudar a contener la propagación del virus.
Obviamente, los humanos no pueden leer los códigos QR a simple vista, lo que hace que sea relativamente fácil para los atacantes reemplazar los códigos QR legítimos con sus propios códigos maliciosos que se vinculan a sus propios sitios. Si está escaneando un código QR para acceder al menú en línea de un restaurante, ser dirigido a un sitio web falso no sería un gran problema. Sin embargo, si está utilizando un código QR para iniciar un sitio en el que ingresará información financiera, podría ser un gran problema.
En enero de 2022, esto es exactamente lo que sucedió en Austin, Texas, cuando la policía descubrió etiquetas con códigos QR fraudulentos pegadas en más de dos docenas de parquímetros públicos. Las personas que intentaron pagar el estacionamiento con estos códigos QR fueron dirigidas a un sitio web fraudulento donde fueron engañadas para que enviaran pagos de estacionamiento a un proveedor fraudulento.
¿Qué tan preocupado deberías estar?
A pesar de la advertencia del FBI y la gran cantidad de atención de la prensa que siguió, la realidad es que la mayoría de las personas probablemente no necesitan preocuparse demasiado por los ataques QR.
Hay mucho folklore de piratería, que yo llamo "hacklore", flotando en estos días, y parte proviene de organizaciones confiables. Hemos visto advertencias recientemente de que escanear códigos QR puede generar malware en su teléfono y compromisos de cuentas bancarias. Lamentablemente, estas alarmas no están respaldadas por los hechos. Si bien nada es 100 % seguro, los fabricantes de teléfonos han hecho un buen trabajo asegurándose de que los códigos QR no creen un problema de seguridad para usted. — Bob Lord, ex CSO en el Comité Nacional Demócrata y CISO en Yahoo
Si bien es teóricamente posible incrustar malware en un código QR de la misma manera que es posible incrustar un juego de Snake, en realidad nunca se ha hecho. Al menos, no hasta donde sabemos nosotros o Bob Lord. La realidad es que los teléfonos son bastante seguros y sería extremadamente difícil llevar a cabo un ataque de este tipo. En pocas palabras: escanear un código QR no dará como resultado que el malware se instale silenciosamente en su teléfono, lo que significa que esto no es algo de lo que deba preocuparse en este momento. Sin embargo, los ataques basados en phishing son un riesgo real y, como se señaló anteriormente, ha habido algunos casos reales. Tales incidentes son, sin embargo, muy raros. Es mucho más probable que encuentre un correo electrónico de suplantación de identidad que un código QR de suplantación de identidad.
Estrategias Generales de Protección
Si bien los códigos QR pueden ser de bajo riesgo, eso no significa que no lo sean y tiene sentido tener esto en cuenta. Si está utilizando un código QR para acceder al menú de un restaurante o en la privacidad de su propia casa para conectar su televisor a su cuenta de Netflix, realmente no necesita preocuparse en absoluto. ¡Escanea lejos! Sin embargo, si está utilizando un código QR para iniciar un sitio en el que ingresará su información personal o financiera, entonces tiene sentido ser un poco cauteloso, especialmente si el código QR está en un lugar público y podría han sido manipulados. En tales casos, puede tener sentido iniciar manualmente la URL del sitio que desea visitar.
Quitar
El volumen de ataques de código QR es tan bajo que la amenaza para el usuario promedio es mínima. Ciertamente, no necesita evitar escanearlos, pero debe tener en cuenta que existe un pequeño riesgo y tener cuidado cuando corresponda.
Comentarios