Texto cortesía de CISCO
En los últimos años, el uso de códigos QR experimentó un resurgimiento gracias a su practicidad para compartir datos de contacto, enlazar a sitios web, descargar aplicaciones y hasta para realizar pagos digitales.
Sin embargo, la versatilidad de esta herramienta no solo ha servido para agilizar procesos del día a día, sino que también ha sido aprovechada por los delincuentes, quienes han encontrado una nueva puerta de entrada para iniciar un ataque cibernético.
Los códigos ‘Quick Response’ o QR son una aplicación tecnológica que permite almacenar información de manera compacta en patrones de cuadrados en blanco y negro. Estos son interpretados a través de las cámaras de dispositivos móviles, lo que ha dado pie a la creación de códigos maliciosos que pueden redirigir a la víctima a un sitio web falso, instalar programas para robar información personal o permitir el acceso a correos electrónicos corporativos.
Leer también: Acusan a la app Temu de ser un “malware”; ¿espía a sus usuarios?
Desde finales de 2023, el área de Respuesta a incidentes de Cisco Talos alertó por primera vez sobre una campaña de phishing con códigos QR enviados a través de correos electrónicos que, al ser escaneados con el teléfono celular, ejecutaban un malware en los dispositivos móviles sin que el usuario se diera cuenta.
“Los códigos QR permiten a los atacantes dirigir su ataque desde un equipo seguro hacia el dispositivo móvil de la víctima. Las computadoras y dispositivos corporativos suelen tener herramientas de seguridad para detectar phishing y proteger a los usuarios de malwares, pero al escanear un código malicioso con un dispositivo personal, la seguridad se reduce, y no todas las soluciones de correo electrónico pueden detectar estos códigos como lo harían con archivos adjuntos maliciosos”, asegura Yair Lelis, director de Ciberseguridad de Cisco en México.
De acuerdo con el experto en ciberseguridad, el objetivo principal de estos atacantes no suele ser el usuario individual, sino información valiosa de las empresas donde estos trabajan, de tal forma que cuando los colaboradores utilizan sus teléfonos móviles para acceder a correos corporativos y otras aplicaciones de trabajo, se convierten en un eslabón débil que los delincuentes buscan aprovechar.
“Una vez que un dispositivo está comprometido, los hackers buscan datos sensibles en archivos y mensajes, a fin de preparar ataques más grandes y sofisticados”, explica el experto.
Además del envío a través de correos, los códigos QR maliciosos o falsos también pueden ser colocados en lugares públicos o incluso compartidos en redes sociales.
Aunque cualquier persona puede ser víctima de este engaño, hay algunos perfiles que son más susceptibles, por ejemplo, usuarios de tecnología que no están familiarizados con las medidas básicas de seguridad digital, adultos mayores y personas que quieren realizar una operación de forma rápida, como un pago, y no verifican la legitimidad del código.
El incremento de ataques y engaños a través de esta técnica señala la necesidad de no bajar la guardia e intensificar la educación en seguridad digital tanto a nivel personal y familiar, como en las organizaciones, para lo cual Cisco Talos recomienda poner en práctica cinco acciones sencillas para evitar esta amenaza.
- Deshabilitar la apertura automática de enlaces en códigos QR para verificar la autenticidad de la URL. También se puede instalar una aplicación de seguridad que, al momento de escanear, alerte al usuario sobre sitios potencialmente peligrosos.
- Mantener actualizado el sistema operativo de los dispositivos móviles, esto ayuda a corregir errores o vulnerabilidades.
- Evitar la automatización en los inicios de sesión de cualquier servicio o aplicación y en su lugar utilizar las herramientas de autenticación de dos factores para aumentar la seguridad de las cuentas y proteger la información personal y de la empresa.
- No proporcionar información personal a través de enlaces, a menos que se haya confirmado la legitimidad del código QR.
- A nivel organizacional también se recomienda implementar una plataforma de administración de dispositivos móviles (MDM) o una herramienta de seguridad móvil similar, en todos los dispositivos móviles de los colaboradores, para proteger su privacidad.
Leer también: ¿Cuánto cuesta estudiar en una universidad privada?
Recibe todos los viernes Hello Weekend, nuestro newsletter con lo último en gastronomía, viajes, tecnología, autos, moda y belleza. Suscríbete aquí: https://www.eluniversal.com.mx/newsletters