Tecnología

Código QR, una ventana al mundo virtual

La facilidad de acceso a datos a través de este código es una oportunidad no exenta de riesgo. El fraude está a la orden del día.

30-05-2012, 3:55:52 PM

No tiene que mirar lejos para detectar un código QR. Desde
su origen, de etiquetar y rastrear partes utilizadas en la fabricación de
automóviles, estos pequeños códigos de barras cuadrados actualmente se colocan
en todas partes desde los empaques de los productos, pósters y vallas
publicitarias, hasta revistas y periódicos.

Los códigos QR son un punto de salto al mundo en línea.
Simplemente al escanear el código con su teléfono inteligente la gente puede
accesar rápidamente el contenido digital almacenado en el código – haciéndolo
el sueño de todo vendedor porque facilita dirigir a los usuarios hacia la información
y los servicios. Es más, estos son un factor llamativo y de curiosidad para los
usuarios que disfrutan la conveniencia de apuntar y navegar.

Sin embargo esto también los hace útiles para los hackers
como herramienta de ingeniería social para explotar los intereses y la
confianza de los usuarios y dirigirlos a sitios web maliciosos o malware.
Mientras que el concepto de ‘descargas drive-by’ ya está bien establecido como
una táctica furtiva para hurtar datos del usuario al navegar en la web los códigos
QR ofrecen un método nuevo para manipular a los usuarios móviles de forma
similar.

Un asunto de confianza

Mientras que las explotaciones de ingeniería social han
evolucionado, desde los gusanos de correo electrónico, aún se apoyan en la
curiosidad humana para ver qué puede ocurrir cuando los usuarios abren un
archivo anexo o cuando escanean un código QR puede llevarlos a menudo a
predicamentos de seguridad.

Es más las aplicaciones de escaneo de códigos QR que corren
en los smartphones pueden proporcionar un enlace directo a otras capacidades
del celular como email, SMS, servicios basados en la ubicación e instalaciones
de aplicaciones y extender varios riesgos potenciales asociados a ataques informáticos a través de los dispositivos
móviles.

Código leído

El primer paso para crear una explotación QR es distribuir
el código, ponerlo frente a víctimas potenciales. Esto podría ocurrir al
incorporar el código QR en un email – haciendo una explotación de phishing
elaborada – o mediante la distribución posible de documentos de aspecto físico
con código QR por ejemplo volantes en un evento o incluso calcomanías aplicadas
en vallas publicitarias genuinas.

Una vez que se distribuye el código QR el atacante tiene una
variedad de opciones de estafa de donde elegir. A un nivel básico el código
podría simplemente redireccionar a los usuarios a sitios web falsos con
objetivos de phishing – como un almacén en línea simulado o un sitio de pagos.

Las explotaciones más
sofisticadas incluyen a los hackers que utilizan códigos QR para direccionar a
los usuarios a sitios web que ‘secuestrarán’ su dispositivo móvil – es decir
permite el acceso de raíz al sistema operativo del aparato e instala malware.
Esto es esencialmente un ataque de descarga drive-by en el dispositivo que
habilita software o aplicaciones adicionales como registradores de claves y
rastreadores GPS para que se instalen sin el conocimiento o el permiso del
usuario.

La banca móvil como blanco

Tal vez el mayor riesgo potencial para los usuarios es el
uso creciente de la banca móvil y de los pagos mediante los smartphones. Con la
capacidad de los códigos QR de bloquear dispositivos y de aprovechar las
aplicaciones, esto le podría dar a los hackers acceso virtual a las billeteras
móviles de los usuarios especialmente ahora que las soluciones de pagos basadas
en QR ya existen y se utilizan. Aunque la captación actualmente es chiquita
crecerá a medida que la aceptación pública de los códigos QR incremente.

 Entonces ¿qué pueden
hacer las organizaciones y usuarios individuales para mitigar los riesgos de
los códigos QR?

La precaución más importante es poder establecer exactamente
qué vínculo o recurso abrirá el código QR cuando se escanee. Algunas
aplicaciones QR (no todas) dan esta visibilidad y – críticamente – piden al
usuario que confirme si desea actuar. Esto le da la oportunidad a los usuarios
evaluar la validez del enlace antes que el código sea activado.

 Considere implementar
la codificación de datos en los teléfonos inteligentes corporativos así en caso
de que si un código QR malicioso consiguiera instalar un troyano en el
dispositivo los datos confidenciales quedarían aún protegidos y no serían
accesibles o usables inmediatamente por parte de los hackers.

Lo básico en seguridad aún aplica – tenga cuidado con lo que
escanea y utilice codificación de datos cuando sea posible. O simplemente:
Piénselo bien antes de usar los códigos QR.

*Gerente general Check Point México

¿Usas los códigos QR que encuentras en la calle?

Para saber más:

.5 usos de los códigos QR en marketing directo

.Empresas exploran nuevas propuestas de comercio electrónico

.10 tendencias de marketing digital