Check Point publica un estudio donde analiza los riesgos para la seguridad móvil derivados del escaneo de códigos QR. Los códigos QR (Quick Response, o Respuesta Rápida) presentes en todo tipo de cartelería, catálogos, revistas, etc., proliferan como forma de acceso a información y servicios. Sólo con escanear un código QR con un smartphone es posible acceder a directamente a contenidos digitales, circunstancia que está siendo usada por los hackers para redirigir a los usuarios hacia programas o sitios Web maliciosos.
Según la compañía de seguridad Check Point, los ciberdelincuentes están haciendo un uso creciente de estos códigos para realizar ataques de ingeniería social, siendo el acceso a las aplicaciones de pago de los terminales móviles uno de sus principales objetivos.
Los códigos QR usados por los cibercriminales pueden estar contenidos en un correo electrónico o estar insertados en documentos físicos de aspecto verosímil, como folletos en una feria comercial. Existe un amplio abanico de tipos de estafa, pero en un nivel básico, el código podría dirigir al usuario a un sitio web falso para cometer phishing, a una tienda online falsa o un sitio web de pago.
Los ataques más sofisticados permiten el uso por parte del hacker de los códigos QR para dirigir a los usuarios a sitios web que “liberarían” su dispositivo móvil, es decir, que permitirían el acceso al directorio raíz del sistema operativo para la instalación de malware. Se trata de ataques del tipo “drive-by-downloads”, que permiten instalar en el dispositivo software adicional, como registros de claves o seguimiento vía GPS, sin el conocimiento del propio usuario.
El mayor riesgo potencial para los usuarios de códigos QR puede ser el uso de la banca móvil y de los pagos realizados a través de los smartphones. La capacidad que tienen estos códigos para “liberar” los dispositivos y aprovecharse de sus aplicaciones puede dar a los hackers un acceso virtual como “carteristas” a las aplicaciones de pago de los dispositivos.
Para mitigar todos estos riesgos, se recomienda establecer con exactitud qué enlace web o recurso se va a poner en marcha cuando el código QR sea escaneado. Algunas aplicaciones de escaneo de códigos QR, aunque no todas, ofrecen esta opción y piden confirmación antes de realizar la acción. Esto le da al usuario la oportunidad de evaluar la validez del vínculo antes de que el código sea activado.
Para los smartphones corporativos, Check Point recomienda el despliegue de soluciones de cifrado de datos, de modo que incluso en el caso de que un código QR malicioso instale un troyano en el dispositivo, la información confidencial estará aún protegida y no será accesible ni utilizada de forma inmediata por los hackers.
Comentarios