viernes, 27 mayo 2022
Visitas totales a la web: 87577486

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Los códigos QR, el nuevo grial de los hackers: así roban tu dinero y tus datos

Nacho Castañón

La Policía Nacional ha alertado de que los hackers están utilizando los códigos QR para robar datos, dinero, cuentas y añadir malware en los dispositivos de las víctimas.

La pandemia por la Covid-19 ha provocado que los códigos QR estén más presentes que nunca en España. Unos elementos que sirven para almacenar información a la que se tiene acceso al escanearlos con una cámara, como la del móvil, y que habitualmente se usan para acceder a la carta de un restaurante o para escanear una entrada o el Pasaporte Covid. Sin embargo, también son una herramienta que permite a los hackers desde robar dinero a datos personales.

La Policía Nacional alertó a través de su cuenta de Twitter hace unos días de una nueva modalidad de estafa en Málaga en la que mediante el uso de los códigos QR los cibercriminales conseguían hacerse con datos personales y bancarios de las víctimas. A su vez, incitaron a los usuarios que tuviesen mucho cuidado a la hora de leer un código desconocido. PUBLICIDAD

Pero ¿cómo funciona este nuevo ciberataque? La mecánica es sencilla, cuando el usuario escanea un código QR, en vez de acceder a una página web, descargar una app o cualquier otro servicio digital seguro entra en un lugar fraudulento en el que se instala un software que sustrae sus datos personales y bancarios. Además, el Instituto Nacional de Ciberseguridad (Incibe) destaca que existen tres tipos de ataques diferentes mediante estos códigos.

Varios ataques

Con los códigos QR se evita que los usuarios mantengan contacto físico con aquellos elementos que pueden ser utilizados por otras personas; una de las medidas para frenar la propagación del coronavirus. El aumento de su uso también ha provocado que los hackers los tengan en su punto de mira, llegando a realizar tres ataques diferentes. 

El primero de ellos es el Qrishing, un ataque de tipo phishing. Esta técnica se combina con la ingeniería social con el objetivo de que la víctima proporcione sus datos y credenciales mediante el escaneo de un código QR dentro de una página web, correo electrónico o mensaje. Al leer el código, el usuario es redirigido a una web que suplanta a la de la empresa oficial y que solicita información confidencial o bancaria.

Código QR en un móvil.
Código QR en un móvil. Alex Branco Omicrono

El segundo ataque es la descarga de malware. Para ello, cuando la víctima escanea un QR de un sitio web no fiable, su dispositivo se infecta con código malicioso diseñado para explotar las vulnerabilidades del teléfono pudiendo realizar diferentes acciones, como extraer datos personales, dar de alta suscripciones a servicios premium, ver anuncios de forma silenciosa y acceder a datos del navegador y a diferentes elementos del móvil, como pueden ser la cámara o el micrófono; o hasta enviar correos.

El principal problema de todas estas acciones es que suceden en segundo plano, por lo que la víctima no es consciente de ellos. Por último, los hackers también pueden hacer Qrljacking, un ataque que también utiliza la ingeniería social para secuestrar la cuenta de un servicio que acepta la función ‘Inicio de sesión con código QR’, como puede ser WhatsApp Web.

Para llevar a acabo este ataque, intentan engañar al usuario para que escanee un QR modificado que suplanta al original, que ha sido capturado previamente por los cibercriminales. De esta forma, cuando la víctima escanea el código QR, el hacker puede apuntar las credenciales de inición de sesión del usuario para acceder de forma encubierta a la información personal que se almacena en dicha cuenta. 

Cómo evitarlos

Para evitar que los hackers se hagan con datos, lo primero que se debe realizar es prestar atención al escanear códigos QR, y más cuando éstos son de origen desconocido. Si el usuario no verifica la dirección web, puede ser engañado fácilmente. Nunca se debe escanear aquellos que estén pegados en publicidad, que no tengan información o los que vienen acompañados de dudosas ofertas o formas de ganar dinero fácilmente.Código QR de Omicrono.

Código QR de Omicrono. Alex Branco Omicrono

Lógicamente, tampoco se debe hacer clic en un enlace desconocido que pueda aparecer tras escanear un código QR. Es decir, si se lee un QR de un restaurante debe salir la carta y no un enlace para descargar un archivo. También se puede configurar el móvil para que muestre una vista previa del enlace cuando se escanea un código, justo antes de acceder, para comprobar que la dirección es correcta.

Incibe también recomienda a las empresas y negocios que comprueben de forma frecuente sus códigos QR para detectar que no hayan sido cambiados por terceras personas. Incluso, señalan que una buena opción es utilizar un generador de códigos QR que ofrezca garantías de seguridad. También se debe comprobar que se redirige a la página indicada, ver si la URL es confiable y que coincide con la que se anuncia en la carta o folleto, y deshabilitar la apertura automática de enlaces al escanear uno de estos códigos.


Fecha de publicaciónoctubre, 2021

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El amor de Macarena Olona por la Guardia Civil empieza por su pareja, un joven oficial condecorado

El padre de su hijo llegó a la Benemérita como militar de carrera y, los que le...

La artillería ‘made in USA’ comprada por Marruecos que deja fuera de juego a España

El país magrebí sigue reforzando sus fuerzas armadas a golpe de talonario, y no lo hace de...

Últimas noticias

El último duelo: una historia real de crimen, escándalo y juicio por combate en la Francia Medieval

Ofrecemos aquí un adelanto editorial del libro de Eric Jager en que se basa la película de...

Miedo en Shanghái: la verdadera cara del régimen chino debería preocuparnos

La rutina, el desgaste y la desilusión provoca que algunos tesoros de los que disponemos se vuelvan invisibles. Eso hace más sencillo...

Este enfermero fundó un servicio sanitario que salva la vida a 1.000 madrileños al año

Javier Quiroga y José Luis Gilarranz pusieron en marcha el Samur en los años noventa. Ahora el servicio celebra su 30 aniversario....

Vuelve la estafa por email que suplanta a cuerpos y fuerzas de seguridad

Desde principios de año estamos viendo que los delincuentes están utilizando varias plantillas que suplantan la identidad de fuerzas y cuerpos de...

Ha llegado la hora de proteger España

España abandonó el 1993 la aplicación de la Ley de Dotaciones para las Fuerzas Armadas que garantizaban un incremento de las inversiones militares así...