Riesgos de los códigos QR

En esta oportunidad y debido a la popularidad que están adquiriendo éstas imágenes, trataremos el tema de los “Códigos QR”, atendiendo a las siguientes inquietudes: ¿Qué son?; ¿Cuáles son los riesgos? y ¿Qué cuidados debo tener en cuenta?

Esperamos que esta breve información les resulte de utilidad para saber de que se trata y especialmente para conocer que también tienen sus riesgos.

 

¿Que son?

Un código QR es una imagen, fácilmente identificable por su forma cuadrada y por los tres cuadros ubicados en las esquinas superiores e inferior izquierda.

Los códigos QR son un tipo de códigos de barras bidimensionales. A diferencia de un código de barras convencional, la información está codificada dentro de un cuadrado, permitiendo almacenar gran cantidad de información alfanumérica y resultando de fácil y rápida interpretación para un dispositivo electrónico.  La sigla “QR” viene de “Quick Response” (“respuesta rápida” en ingles).

Originalmente fueron desarrollados por la industria automotriz como sistema de seguimiento de los vehículos. Hoy en día, y desde hace un tiempo, se utilizan para una variedad de industrias y principalmente en el mundo publicitario por ser una herramienta simple de comunicación de contenidos a los usuarios, pudiéndose observar una gran variedad de avisos publicitarios, en la vía pública, en medios de transporte, en folletos de publicidad, revistas, diarios, etc.

El uso ya no es solo para codificar y clasificar productos o hacer inventarios de objetos, sino que, con la aparición de programas utilizables en teléfonos móviles y computadoras es posible recoger la información y procesarla, permitiendo realizar acciones tales como, realizar una llamada, enviar un SMS o e-mail, agregar un contacto en nuestra agenda, realizar descargas desde sitios web, etc.

Si bien se han desarrollado muchas aplicaciones para celulares que permiten interactuar con estás imágenes, la utilidad y uso de estos códigos se encuentra en pleno desarrollo.

¿Cuáles son los riesgos?

Las características que resultan beneficiosas para el usuario pueden ser, por otra parte, aprovechadas para engañar y hasta transformarse en un medio para cometer delitos.

Un claro ejemplo de ello es un QR malicioso que al ser escaneado por un dispositivo móvil, dirija automáticamente el navegador del dispositivo a una página de Internet que contenga un phishing o que pueda descargar una aplicación fraudulenta o código malicioso que aproveche vulnerabilidades del dispositivo.  Luego, el delincuente podría obtener información personal o privada (como fotos, datos de agenda, correos electrónicos, claves de homebanking, etc.) o dinero (por ejemplo, mediante la realización de compras o pagos),etc.

Una gran parte del éxito que presentan los “QR maliciosos” reside en el hecho que el usuario no puede validar la información almacenada hasta tanto no se la escanea.  Esto es a su vez potenciado por el software de escaneo de QRs que, en general, dirige automáticamente a la URL contenida en la imagen sin ningún tipo de validación de seguridad previa.

Adicionalmente, cabe destacar que existen en la web aplicativos para la generación de códigos QR y que existe la posibilidad de alterar un código QR legítimo superponiéndole otro malicioso.

¿Qué cuidados debo tener en cuenta?

Una medida que puede ayudar a no caer en engaños es utilizar una aplicación que antes de conectarse a un sitio muestre la URL o dirección. Si bien requiere cierto conocimiento sobre la construcción de las direcciones de Internet, a primera vista se podría identificar el dominio a donde se estaría conectando el dispositivo, si es que no esta utilizando un acortador de URL.

En aquellos usos de los códigos QR que impliquen una transacción que contenga datos privados o dinero, debemos asegurarnos de que se hayan implementado medidas adicionales de protección. Dichas medidas deben implementarse en los sitios, aplicaciones o dispositivos que brindan los servicios, por ejemplo, uso de credenciales (usuario y contraseñas), canal seguro de comunicación (HTTPS), etc.

Finalmente, debemos tener presente que al capturar uno de éstos códigos estamos confiando en la entidad o persona que los generó, y recordar que, así como no debemos hacer clic en cualquier link o enlace de dudosa procedencia, tampoco lo debemos hacer con éstos códigos.

Share

This entry was posted in aprendizaje, malware, phishing, seguridad. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.