El avance de la tecnología ha hecho que escribir direcciones de internet a mano sea casi cosa del pasado. La llegada de los códigos QR, por ejemplo, ha acelerado este proceso al dirigir al usuario automáticamente. Desafortunadamente, hay quienes se valen de este medio para hacer estafas, por lo cual es importante que estés atento para no ser víctima de un engaño.
La mayoría de las personas con un teléfono celular o una computadora ya saben que deben ser conscientes de hacer clic en enlaces aleatorios sin saber a dónde van. Saben buscar la letra diferente en la URL, como una mayúscula que yo usé en lugar de una L minúscula. Pero una tecnología que se ha vuelto más popular en los últimos años está dificultando que los usuarios reconozcan las estafas.
El Informe de Tendencias de Ciberseguridad 2024 de la Asociación Nacional de Tráfico de Mercancías Motorizadas (NMFTA por sus siglas en inglés) destacó un aumento en los ataques con códigos QR, llamados quishing, en los que los atacantes manipulan la tecnología de códigos QR para engañar a los usuarios para que visiten sitios maliciosos y así poder robar sus datos. Cada vez más empresas de la cadena de suministro, incluidos los transportistas, utilizan códigos QR en sus operaciones diarias y, si bien no existe ningún peligro en su uso con enlaces legítimos, existen algunas preocupaciones a tener en cuenta.
El equipo de ciberseguridad de la NMFTA dijo que el código QR por sí solo no es una amenaza, pero la información o acción que desencadena puede serlo. Dos directores de información de dos empresas de transporte diferentes que utilizan códigos QR de una forma u otra coinciden en que la amenaza reside en el consumidor o usuario. El director de información de First Fleet, Austin Henderson, dijo que esto es solo una nueva forma de phishing y no es diferente a hacer que un usuario haga clic en un enlace aleatorio.
“Esto es un riesgo, pero, en mi opinión, no es realmente culpa de la tecnología sino que es el consumidor que apunta con su cámara quien luego proporciona detalles que no debería”, dijo Henderson. “Si recibe un mensaje de texto aleatorio que dice haga clic aquí para obtener su ‘paquete de beneficios’ o lo que sea, entonces irá a un sitio donde lo someterán a phishing; si ingresa sus credenciales, es un problema de concienciación del usuario y necesita algo como KnowBe4 para capacitar a sus usuarios. Para mí esto no es un riesgo de la tecnología sino del consumidor”.
Pero los operadores deben ser conscientes de que los delincuentes pueden reemplazar el código QR del operador por uno malicioso. La matriz de pequeños cuadrados blancos y negros se puede crear fácilmente con un generador de códigos QR y guiar al usuario directamente a las manos de una estafa. Y esos códigos QR maliciosos pueden colocarse fácilmente encima del código QR legítimo de un operador, lo que podría provocar daños a la reputación del operador a pesar de que no sea su culpa.
“La amenaza a la seguridad de los QR surge realmente cuando alguien coloca una etiqueta QR sobre otra cosa con un enlace malicioso. Un lugar donde esto se ha visto es en los bares y salones de los aeropuertos con códigos QR para menús, pero puede estar en cualquier lugar donde alguien pueda acceder al código. Los piratas informáticos superponen la parte QR con cuidado o simplemente reimprimen una pegatina completa con el código QR apuntando a su sitio”, dijo John Reed, CIO y vicepresidente ejecutivo de tecnología de la información de Aim Transportation Solutions. “El código QR que apunta a una aplicación para descargar no es más una amenaza para la seguridad que imprimir la URL que apunta a ella. No existe ninguna amenaza inherente al publicar el QR legítimo en nuestros servidores. Dicho esto, ¿podría una persona imprimir una pegatina con un código QR y pegarla sobre la nuestra? Absolutamente, pero si aún no tuviéramos un código allí, aún podrían imprimirlo todo”.
Al igual que los bares o restaurantes de los aeropuertos, estos códigos QR podrían estar al acecho en lugares como paradas de camiones para que los conductores sean víctimas si escanean el código con su teléfono personal o con un teléfono proporcionado por la empresa que tenga acceso a los datos de la empresa. El equipo de ciberseguridad de la NMFTA dijo que los riesgos en los almacenes y muelles aumentan aún más ya que el escaneo de códigos de barras se realiza allí todo el día, todos los días, y podría usarse con fines nefastos si no se controla ni se vigila.
Y el correo electrónico también sigue siendo una preocupación. A medida que las empresas se vuelven más inteligentes y mejoran su ciberseguridad en torno al correo electrónico, los atacantes encuentran nuevas formas de invadir estos sistemas, incluso mediante el uso de códigos QR. “Hemos visto un aumento en ataques como este en los que el archivo adjunto a las cuentas de correo electrónico corporativas es, por ejemplo, un PDF, y cuando lo abres, hay un documento que tiene un código QR, que el atacante espera que escanees con tu teléfono”, dijo Henderson. “Cuando lo escaneas con tu teléfono, ese tráfico no pasará a través de los firewalls ni será inspeccionado, así que sí, esto es un problema, pero no es diferente a recibir un enlace aleatorio en tu teléfono”. Henderson dijo que la concientización y la capacitación de los usuarios es el camino adecuado a seguir.
Mitigar las vulnerabilidades del código QR
Estos son algunos de los consejos que ofrece el equipo de ciberseguridad de la NMFTA:
• Antes de escanear un código, especialmente uno en material impreso en un lugar público, asegúrate de que no haya sido alterado con un código diferente pegado por encima que podría ser potencialmente malicioso. Es mejor no utilizar códigos QR que parezcan alterados de alguna manera. Presta atención a la URL a la que se dirige, aunque esto no siempre es posible hacerlo antes de visitar el sitio, ya que algunos códigos no mostrarán la URL de antemano.
• Nunca inicies sesión en una aplicación usando un código QR.
• Ten cuidado antes de confiar y escanear un código QR. Primero, pregúntate: ¿puedes confiar en la fuente? ¿Confías en el cartel, restaurante o sitio web que muestra el código QR? Si alguien dejara un folleto en tu coche con un código QR, ¿puedes confiar en él?
• Descarga aplicaciones únicamente de tiendas de aplicaciones verificadas en lugar de obtenerlas a través de códigos QR.
• No realices pagos financieros a través de códigos QR.
• Comprueba si hay códigos QR (calcomanías) manipulados y páginas web comprometidas que soliciten información personal innecesaria.
• Proporciona la cantidad mínima de información personal solicitada al completar formularios en línea a través de códigos QR.
• Una vez que escanees un código QR, tu dispositivo te preguntará si deseas actuar según la información que lees antes de hacer algo. Por ejemplo, si el código QR es un enlace a un sitio web, tu dispositivo te preguntará si deseas visitar el sitio antes de acceder. Tómate el tiempo para revisar el llamado a la acción o el enlace en sí y asegúrate de sentirte cómodo visitándolo.
• Confirma que tus dispositivos móviles estén siempre actualizados y ejecutando la última versión de su sistema operativo. Esto garantiza que tengan las últimas funciones de seguridad.
• No es necesario instalar aplicaciones móviles especiales para decodificar códigos QR. Debería poder utilizar simplemente la cámara integrada de tu dispositivo. Si un sitio web requiere que descargues una aplicación especializada para escanear QR, lo más probable es que sea falsificada o falsa.
• Piénsalo dos veces antes de proporcionar información confidencial o personal a cualquier sitio web al que hayas accedido mediante un código QR públicamente visible.
Seguridad de flotas/activos
Cuando utilice lectores de códigos de barras, asegúrate de lo siguiente:
• Los escáneres QR no recuperan automáticamente las URL en códigos QR.
• Si se dirigen automáticamente a Internet, debe ser a una dirección/ubicación IP fija.
• No deben modificarse fácilmente para redirigirlos a un sitio no deseado.
• Realiza inspecciones de rutina para garantizar que los códigos de barras/QR legítimos no hayan sido reemplazados por códigos de barras/QR maliciosos.