{"id":10885,"date":"2022-02-02T09:29:11","date_gmt":"2022-02-02T13:29:11","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=10885"},"modified":"2022-02-13T09:52:16","modified_gmt":"2022-02-13T13:52:16","slug":"codigos-qr-5-formas-en-que-pueden-ser-aprovechados-por-estafadores-francisco-dagostino","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2022\/02\/02\/codigos-qr-5-formas-en-que-pueden-ser-aprovechados-por-estafadores-francisco-dagostino\/","title":{"rendered":"C\u00f3digos QR: 5 formas en que pueden ser aprovechados por estafadores"},"content":{"rendered":"

Por Francisco D’Agostino<\/p>\n

El uso de los c\u00f3digos QR tuvo una explosi\u00f3n con la pandemia, en gran parte por su contribuci\u00f3n al reducir la necesidad de contacto con superficies que puedan haber sido manipuladas por terceros y de esta manera minimizar los riesgos de contagio. Actualmente est\u00e1n siendo utilizados en diversos sectores y de distinta manera, por ejemplo, para mostrar el men\u00fa de comidas de un restaurante, medios de pago, solicitud de servicios, compartir un contacto, etc. Sin embargo, como suele suceder con cualquier tecnolog\u00eda que se vuelve popular, tambi\u00e9n capt\u00f3 la atenci\u00f3n de los cibercriminales que los est\u00e1n utilizando con fines maliciosos. ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, advierte de qu\u00e9 forma pueden ser aprovechados los c\u00f3digos QR por los estafadores para enga\u00f1ar a sus v\u00edctimas.<\/p>\n

QR es un acr\u00f3nimo de Quick Response, en espa\u00f1ol \u201crespuesta r\u00e1pida\u201d, son c\u00f3digos que est\u00e1n dise\u00f1ados para ser le\u00eddos e interpretados r\u00e1pidamente. En ellos se puede almacenar de forma matricial un m\u00e1ximo de 4296 caracteres alfanum\u00e9ricos en las versiones m\u00e1s grandes, aunque los de uso p\u00fablico general suelen ser matrices m\u00e1s peque\u00f1as para ser capturadas f\u00e1cilmente desde la c\u00e1mara del tel\u00e9fono.<\/p>\n

Los c\u00f3digos QR poseen una estructura que permite que sean decodificados por aplicaciones que funcionan como lectores utilizando, por ejemplo, la c\u00e1mara de fotos del tel\u00e9fono. La acci\u00f3n o el resultado obtenido luego de leer un c\u00f3digo QR puede variar y va a depender de la aplicaci\u00f3n que est\u00e9 interactuando con dicho c\u00f3digo. A partir de un c\u00f3digo QR se puede: abrir una p\u00e1gina web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre muchas otras. Los c\u00f3digos QR son muy vers\u00e1tiles, se pueden personalizar, incluir logotipos e incluso hay versiones din\u00e1micas que permiten cambiar el contenido o acci\u00f3n del QR en cualquier momento.<\/p>\n

\u201cDada la versatilidad de los c\u00f3digos QR y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio. Si a esto le sumamos la cantidad de c\u00f3digos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se ampl\u00eda a\u00fan m\u00e1s.\u201d, <\/em>menciona Cecilia Pastorino, Investigadora de Seguridad Inform\u00e1tica de ESET Latinoam\u00e9rica.<\/p>\n

ESET acerca algunos ejemplos de acciones maliciosas que podr\u00edan realizar los cibercriminales:<\/p>\n

    \n
  1. Redirigir al usuario a una web maliciosa para robarle informaci\u00f3n: <\/strong>Al igual que los atacantes emplean t\u00e9cnicas de\u00a0malvertising<\/a>o\u00a0BlackHat SEO<\/a>para dirigir a sus v\u00edctimas a sitios fraudulentos, podr\u00edan hacer lo mismo con los c\u00f3digos QR. Especialmente si estos se encuentran en publicidades en la v\u00eda p\u00fablica o en las \u00e1reas de atenci\u00f3n al cliente de entidades financieras. Recientemente en Estados Unidos delincuentes colocaron en parqu\u00edmetros p\u00fablicos ubicados en distintas ciudades,\u00a0calcoman\u00edas con falsos c\u00f3digos QR<\/a>\u00a0que llevaban a las potenciales v\u00edctimas a un falso sitio para supuestamente realizar el pago con el objetivo de robar los datos financieros.<\/li>\n
  2. Descargar un archivo malicioso en el equipo de la v\u00edctima: <\/strong>Muchos bares y restaurantes utilizan c\u00f3digos QR para que el usuario descargue un archivo PDF con el men\u00fa o instalen una aplicaci\u00f3n para realizar el pedido. En este y otros contextos similares, un atacante podr\u00eda f\u00e1cilmente alterar el c\u00f3digo QR para llevar al usuario a descargar un PDF malicioso o llevarlo a instalar una aplicaci\u00f3n fraudulenta.<\/li>\n
  3. Realizar acciones en el dispositivo de la v\u00edctima: <\/strong>Los c\u00f3digos QR pueden generar acciones directamente en el dispositivo lector, estas acciones depender\u00e1n de la aplicaci\u00f3n que los est\u00e9 leyendo por lo que hay que prestar atenci\u00f3n a las\u00a0falsas apps de lectores de QR<\/a>. Sin embargo, existen algunas acciones b\u00e1sicas que cualquier lector QR es capaz de interpretar. Por ejemplo, conectar el dispositivo a una red Wi-Fi, enviar un correo o un SMS con un texto predefinido, o guardar un contacto en el dispositivo. Si bien estas acciones en s\u00ed mismas no son maliciosas, podr\u00edan ser utilizadas por un atacante para conectar un equipo a una red intervenida, mandar mensajes en nombre de la v\u00edctima o agendar un contacto para un posterior enga\u00f1o.<\/li>\n
  4. Desviar un pago o realizar solicitudes de dinero: <\/strong>La mayor\u00eda de las aplicaciones financieras digitales actuales permiten realizar pagos a trav\u00e9s de c\u00f3digos QR que contienen los datos del receptor del dinero. Muchas tiendas dejan estos c\u00f3digos a la vista de sus clientes para facilitar la operaci\u00f3n. Un atacante podr\u00eda modificar este QR con sus propios datos y recibir as\u00ed los cobros en su cuenta. Tambi\u00e9n podr\u00eda generar c\u00f3digos con solicitudes de cobro de dinero para enga\u00f1ar a compradores, como le ocurri\u00f3 a\u00a0algunos usuarios<\/a>que\u00a0denunciaron<\/a>que fueron estafados con el env\u00edo de un falso c\u00f3digo QR para realizar un pago.<\/li>\n
  5. Robar la identidad del usuario o el acceso a una aplicaci\u00f3n: <\/strong>Muchos c\u00f3digos QR se utilizan como un certificado para verificar informaci\u00f3n de una persona, como el documento de identidad o los pases sanitarios. En estos casos los c\u00f3digos QR contienen informaci\u00f3n tan sensible como la que se encuentra en un documento de identidad o historia cl\u00ednica, la cual un atacante podr\u00eda obtener f\u00e1cilmente escaneando el c\u00f3digo QR.<\/li>\n<\/ol>\n

    Por otro lado, Francisco D’Agostino explica que muchas aplicaciones (como WhatsApp, Telegram o Discord) utilizan c\u00f3digos QR para autenticar la sesi\u00f3n de un usuario y permitirle acceder a su cuenta. Tal como ya ha ocurrido con WhatsApp<\/a>, los ataques como QRLjacking pueden enga\u00f1ar a un usuario suplantando la identidad de un servicio y provocar que escanee el QR proporcionado por el atacante.<\/p>\n

    \u201cEn la mayor\u00eda de los casos identificados, el atacante deber\u00e1 crear un c\u00f3digo QR malicioso que luego reemplazar\u00e1 por el c\u00f3digo original para que la v\u00edctima escanee. Es decir, que muchos de estos riesgos se basan en la ingenier\u00eda social y en lograr enga\u00f1ar a la v\u00edctima.\u201d, <\/em>agrega Pastorino de ESET.<\/p>\n

    Los consejos para utilizar los c\u00f3digos QR de forma segura que comparte ESET<\/a>, son:<\/strong><\/p>\n