Algunos expertos consideran que el QR es la evolución del código de barras. Se trata de módulos compuestos por puntos que almacenan información. Entre los usos de los códigos QR están: insertar un enlace para acceder a una página web; acceder a sistemas de transporte, zonas de ocio, eventos, etc.; proteger contenido en documentos; descargar aplicaciones; generar contraseñas de un solo uso o códigos cifrados para acceder a algunos servicios; garantizar la trazabilidad en transporte y logística e, incluso, en algunos países se ha extendido como forma de pago.

¿Qué riesgos tiene su uso?

• Ataques de Qrishing (phishing): los ciberdelincuentes combinan este ataque con la ingeniería social para conseguir las credenciales de las víctimas. Cuando los usuarios escaenan el QR, alojado en una web o email, son redirigidos a una web que suplanta a la original y le solicita sus datos personales.
• Qrljacking o secuestro de sesión: los ciberdelincuentes utilizan la ingeniería social para secuestrar la cuenta de un servicio que acepte la función de inicio de sesión con código QR. Para llevarlo a cabo, engañan a la víctima para que escanee un QR modificado (suplanta al original). Al escanearlo, el ciberdelincuente captura las credenciales de sesión del usuario y accede a la información de la cuenta.
• Descarga de malware o inyección de código malicioso: se caracteriza por la descarga, de manera forzada, de software malicioso cuando la víctima visita la web. El sitio web malicioso está diseñado para explotar las vulnerabilidades y todas las acciones (filtrado de información, suscripción a servicios premium, inclusión en una botnet, etc.) se producen en segundo plano, de forma que los usuarios no son conscientes de lo que ocurre.

¿Qué podemos hacer?

• Comprobar los QR de nuestra organización de forma regular. Así podemos comprobar que no han sido modificados por terceros.
• Elegir un generador de QR que ofrezca garantías de seguridad.
• Comprobar que la URL es confiable y que pertenece al sitio correcto.
• Deshabilitar la apertura automática de enlaces cuando se escanea el código. Así podremos comprobar la dirección enlazada al código antes de que se abra.

by