La fiebre de los códigos QR ¿son realmente seguros?

In octubre 18, 2021
On Blog
Comments off
108 Views

Los llamados códigos QR (en inglés Quick Responde o de respuesta rápida) nacieron durante la época de pandemia como una buena solución tecnológica para paliar algunos de los problemas que se plantearon, como por ejemplo mantener la distancia de seguridad o llevar a cabo protocolos de higiene más escrupulosos en los distintos establecimientos para evitar el uso de elementos por distintas personas. Pero ¿es realmente seguro utilizar este tipo de códigos?

Los códigos QR son códigos bidimensionales de respuesta rápida que incluyen una dirección URL en una imagen y, al ser escaneada a través de un smartphone, permite, entre otros casos de uso, el acceso a un sitio web, acceso a descarga de una APP, acceso a transporte o zonas de ocio etc.

Como usuarios debemos ser conscientes de que existe la posibilidad de que al escanear la imagen seamos víctimas de un ciberataque. A continuación, algunos de los principales riesgos que podemos sufrir por utilizar estos códigos:

  • Ataques de phising (Qrishing) o suplantación de fuente legitima: al escanear el código por los usuarios se redirige a una página web, que suplanta a una determinada empresa y que servirá como “puerta de acceso” a toda la información que contiene nuestro smartphone: imágenes, correo electrónico, número de tarjetas etc.
  • Descarga de malware o inyección de código malicioso: al acceder al sitio web al que redirige el código se descarga de manera forzada un software malicioso que podrá explotar las vulnerabilidades del dispositivo permitiendo filtrar información, suscribirse a servicios de pago o visualizar anuncios sin que el usuario lo sepa, acceder al micrófono o cámara etc.
  • Qrljacking o secuestro de sesión: permite secuestrar la cuenta de un usuario que acepte la función de “Iniciar sesión con código QR”. Uno de los ejemplos más característicos es el ataque sufrido por WhatsApp web, en este caso, los ciberdelincuentes consiguieron que la víctima mostrara el código QR de la App de su smartphone para copiarlo, replicarlo y activar su cuenta, haciéndose así con sus historiales.

Para evitar estas amenazas o, al menos minimizar los riesgos asociados, el Instituto Nacional de Ciberseguridad (INCIBE) ha publicado algunos consejos o recomendaciones que los diferentes establecimientos o entidades pueden aplicar al utilizar estos códigos, destacan:

  • Comprobar periódicamente que los códigos no se han cambiado o modificado por terceros;
  • Seleccionar un generador de código QR que ofrezca garantías de seguridad; y
  • Comprobar siempre que el código redirige a la página indicada.

En cuanto a los usuarios, es recomendable tomar algunas precauciones:

  • No escanear códigos de dudosa procedencia;
  • Deshabilitar la apertura automática de enlaces al escanear un código, solo se abrirá si damos permiso para ello;
  • Chequear que la URL es confiable; y
  • Utilizar Apps de lectura que permiten consultar la URL antes de abrirla.

Para más información puede consultarse la página web de INCIBE aquí.

En definitiva, pese a que el uso de este tipo de códigos es una práctica útil que permite agilizar procesos e incluso reducir costes, es importante que no olvidemos los riesgos asociados y apliquemos las medidas de seguridad necesarias.

#Helas #entiendelaprivacidad #laProteccióndeDatosenlasrelacioneslaborales #AEPD #compliance #legaltech

Marta Serrano Carnicer

Consultor de Helas Consultores

       

Comments are closed.

Suscríbete a nuestro Boletín

HELAS CONSULTORES, S.L. con NIF: B-83017780; Calle Magallanes, 24, 1º-A, C.P. 28015, Madrid como Responsable del Tratamiento tratará sus datos personales con la finalidad de gestionar la suscripción a la newsletter de la página web.
Puede ejercitar sus derechos y retirar su consentimiento mediante el envío de un mensaje de correo electrónico a info@helasconsultores.com, así como a reclamar ante la Autoridad de Control (Agencia Española de Protección de Datos: www.aepd.es).
Con el envío de sus datos personales acepta el tratamiento de dato, para más información le recomendamos que lea nuestra Política de Privacidad.
Consultoría de Protección de Datos y Servicios de Compliance
  • C/MAGALLANES 24, 1º A. 28015 MADRID
  • 91 444 00 03