Los códigos QR pueden llegar a ser peligrosos para la seguridad de nuestros clientes, especialmente si no nos preocupamos de comprobar que estos conducen a donde supuestamente deben conducir, es decir, la página web de nuestro negocio.

Hay que tener en cuenta que el uso de códigos QR por motivo del Covid se ha incrementado, haciendo que los usuarios se hayan acostumbrado más a escanearlos, por ejemplo, para acceder a la carta de un restaurante o la información de un museo. Esto tiene como contrapartida que los usuarios pocas veces desconfían del código QR que encuentran en estos sitios. Y los cibercriminales lo saben.

Por ello, es importante que comprobemos la seguridad de cada código QR que creemos para nuestro negocio de forma regular y evitar así que nuestros clientes puedan acabar convirtiéndose en víctimas de los cibercriminales.

Principales peligros de los códigos QR

Aunque los códigos QR online o impresos son bastante seguros, lo cierto es que también pueden usarse como un medio para distribuir diferentes tipos de malware en móviles o aprovechar exploits del sistema operativo o alguna aplicación.

En general, los ciberdelincuentes aprovechan muchas veces la confianza de los usuarios en los códigos QR, ya que cada vez están más acostumbrados a escanearlos, para llevar a cabo sus ataques, puesto que muy pocos usuarios son capaces de diferenciar entre un código QR lícito y otro malicioso.

Así, los principales peligros de los códigos QR son los siguientes:

QR maliciosos

A través de la creación de un código QR malicioso, se puede dirigir a los usuarios a una web fraudulenta para llevar a cabo la siguiente fase del ataque.

Ataques como, por ejemplo, añadir una lista de contactos en el teléfono para llevar a cabo un ataque de spear phishing, enviar mensajes o correos electrónicos desde el móvil, etc.

Qrishing

El Qrishing es un ataque tipo phishing que conjuga la ingeniería social con el escaneo de un código QR para llevar a los usuarios a una web falsa, que suplanta una web oficial, donde se le pedirá al usuario que facilite alguna de sus credenciales, para así poder robarlas.

Si la copia de la web suplantada está bien hecha, salvo que el usuario se detenga a mirar la URL, es muy posible que acabe cayendo en la trampa.

Descarga de malware

Los códigos QR también se pueden usar para conducir a los usuarios a una web de descarga de malware o de inyección de código malicioso. Para esta técnica se suelen aprovechar vulnerabilidades o llevar a cabo un ataque drive by download; una descarga forzada de malware al visitar un sitio web.

Una vez descargado el malware en el dispositivo, este puede aprovechar vulnerabilidades para llevar a cabo otras acciones como, por ejemplo, sustraer información confidencial, activar y usar las cámaras o micrófono del dispositivo, unirlo a una botnet, suscribir al usuario a un servicio premium, etc.

Qrljacking

El Qrjacking es el secuestro de sesión, es decir, se usa el código QR para, junto a técnicas de ingeniería social, secuestrar la cuenta de un servicio que utilice la función de iniciar sesión con código QR.

Para que este ataque tenga éxito, es necesario engañar al usuario para que escanee un código QR malicioso que suplanta al original. Cuando el usuario lo escanea, el cibercriminal se hace con las credenciales de inicio de sesión de este, con lo que gana acceso a dicha cuenta, pudiendo hacerse con el control de la misma.

Rastreo

Los códigos QR maliciosos también pueden usarse para rastrear las acciones del usuario cuando navega por Internet e, incluso, revelar su localización física.

Fuente: https://protecciondatos-lopd.com/empresas/codigos-qr-peligros-seguridad