miércoles, 5 octubre 2022
Visitas totales a la web: 87930813

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Los códigos QR, el nuevo grial de los hackers: así roban tu dinero y tus datos

Nacho Castañón

La Policía Nacional ha alertado de que los hackers están utilizando los códigos QR para robar datos, dinero, cuentas y añadir malware en los dispositivos de las víctimas.

La pandemia por la Covid-19 ha provocado que los códigos QR estén más presentes que nunca en España. Unos elementos que sirven para almacenar información a la que se tiene acceso al escanearlos con una cámara, como la del móvil, y que habitualmente se usan para acceder a la carta de un restaurante o para escanear una entrada o el Pasaporte Covid. Sin embargo, también son una herramienta que permite a los hackers desde robar dinero a datos personales.

La Policía Nacional alertó a través de su cuenta de Twitter hace unos días de una nueva modalidad de estafa en Málaga en la que mediante el uso de los códigos QR los cibercriminales conseguían hacerse con datos personales y bancarios de las víctimas. A su vez, incitaron a los usuarios que tuviesen mucho cuidado a la hora de leer un código desconocido. PUBLICIDAD

Pero ¿cómo funciona este nuevo ciberataque? La mecánica es sencilla, cuando el usuario escanea un código QR, en vez de acceder a una página web, descargar una app o cualquier otro servicio digital seguro entra en un lugar fraudulento en el que se instala un software que sustrae sus datos personales y bancarios. Además, el Instituto Nacional de Ciberseguridad (Incibe) destaca que existen tres tipos de ataques diferentes mediante estos códigos.

Varios ataques

Con los códigos QR se evita que los usuarios mantengan contacto físico con aquellos elementos que pueden ser utilizados por otras personas; una de las medidas para frenar la propagación del coronavirus. El aumento de su uso también ha provocado que los hackers los tengan en su punto de mira, llegando a realizar tres ataques diferentes. 

El primero de ellos es el Qrishing, un ataque de tipo phishing. Esta técnica se combina con la ingeniería social con el objetivo de que la víctima proporcione sus datos y credenciales mediante el escaneo de un código QR dentro de una página web, correo electrónico o mensaje. Al leer el código, el usuario es redirigido a una web que suplanta a la de la empresa oficial y que solicita información confidencial o bancaria.

Código QR en un móvil.
Código QR en un móvil. Alex Branco Omicrono

El segundo ataque es la descarga de malware. Para ello, cuando la víctima escanea un QR de un sitio web no fiable, su dispositivo se infecta con código malicioso diseñado para explotar las vulnerabilidades del teléfono pudiendo realizar diferentes acciones, como extraer datos personales, dar de alta suscripciones a servicios premium, ver anuncios de forma silenciosa y acceder a datos del navegador y a diferentes elementos del móvil, como pueden ser la cámara o el micrófono; o hasta enviar correos.

El principal problema de todas estas acciones es que suceden en segundo plano, por lo que la víctima no es consciente de ellos. Por último, los hackers también pueden hacer Qrljacking, un ataque que también utiliza la ingeniería social para secuestrar la cuenta de un servicio que acepta la función ‘Inicio de sesión con código QR’, como puede ser WhatsApp Web.

Para llevar a acabo este ataque, intentan engañar al usuario para que escanee un QR modificado que suplanta al original, que ha sido capturado previamente por los cibercriminales. De esta forma, cuando la víctima escanea el código QR, el hacker puede apuntar las credenciales de inición de sesión del usuario para acceder de forma encubierta a la información personal que se almacena en dicha cuenta. 

Cómo evitarlos

Para evitar que los hackers se hagan con datos, lo primero que se debe realizar es prestar atención al escanear códigos QR, y más cuando éstos son de origen desconocido. Si el usuario no verifica la dirección web, puede ser engañado fácilmente. Nunca se debe escanear aquellos que estén pegados en publicidad, que no tengan información o los que vienen acompañados de dudosas ofertas o formas de ganar dinero fácilmente.Código QR de Omicrono.

Código QR de Omicrono. Alex Branco Omicrono

Lógicamente, tampoco se debe hacer clic en un enlace desconocido que pueda aparecer tras escanear un código QR. Es decir, si se lee un QR de un restaurante debe salir la carta y no un enlace para descargar un archivo. También se puede configurar el móvil para que muestre una vista previa del enlace cuando se escanea un código, justo antes de acceder, para comprobar que la dirección es correcta.

Incibe también recomienda a las empresas y negocios que comprueben de forma frecuente sus códigos QR para detectar que no hayan sido cambiados por terceras personas. Incluso, señalan que una buena opción es utilizar un generador de códigos QR que ofrezca garantías de seguridad. También se debe comprobar que se redirige a la página indicada, ver si la URL es confiable y que coincide con la que se anuncia en la carta o folleto, y deshabilitar la apertura automática de enlaces al escanear uno de estos códigos.


Fecha de publicaciónoctubre, 2021

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El amor de Macarena Olona por la Guardia Civil empieza por su pareja, un joven oficial condecorado

El padre de su hijo llegó a la Benemérita como militar de carrera y, los que le...

La artillería ‘made in USA’ comprada por Marruecos que deja fuera de juego a España

El país magrebí sigue reforzando sus fuerzas armadas a golpe de talonario, y no lo hace de...

Últimas noticias

Pilar Montero del grupo de emergencias en Patrimonio (UCM): «El terremoto de Lorca lo cambió todo»

La directora del grupo de investigación de Gestión de Riesgos y Emergencias en Patrimonio Cultural (GREPAC)...

La actriz de Hollywood que logró uno de los inventos militares más importantes del siglo XX

Hedy Lamarr pasó de huir del fascismo que se propagaba por Europa en los años treinta a enfrentarse directamente a él, creando...

SEGURIDAD, “GLOBAL BRITAIN” Y ENTIERRO DE LA REINA ISABEL II DEL REINO UNIDO

El 19 de septiembre de 2022, ha sido un día que pasará a la historia del Reino Unido y la del resto del mundo. En ese día se ha producido el entierro de la reina Isabel II de Inglaterra tras su fallecimiento el día 8 de septiembre en el castillo de Balmoral (Escocia).

El pulso electromagnético, el arma que puede hacer retroceder a una ciudad al siglo XIX

Estados Unidos, Rusia y China trabajan en sus propios proyectos. El Pentágono cree que Irán y Corea del Norte también lo hacen.

Así se gestó un ‘atraco virtual’ de 240.000 euros a través de Bizum

Más de un centenar de personas participó en un entramado para desvalijar la cuenta corriente de una anciana tras detectar una debilidad...