La semana pasada hablamos de un aumento significativo de ciberdelincuencia en el país. Estos datos fueron investigados por la PROFECO que también identificó dos tipos de amenazas que provienen de hackeos mediante códigos QR, el QRishing y QRLjacking.
¿Qué es QRishing?
Es una variación del mucho más conocido "Phishing" o suplantación de identidad. Es decir, cuando la víctima accede a una página web fraudulenta (imitando la de una entidad bancaria, por ejemplo) cuyo objetivo es que introduzca sus credenciales de usuario u otra información sensible que queda en manos del ciberdelincuente.
¿Qué es QRLjacking?
Este anglicismo es como se conoce al secuestro de inicio de sesión en servicios que emplean un código QR como es el caso de la versión web de WhatsApp. Este tipo de ataque se produce cuando se engaña a la víctima para que escanee un código QR modificado que suplanta al original, de forma que el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta.
Estos dos tipos de estafas mediante código QR son las más comunes que se nos pueden presentar. Ahora ya que las conocemos ¿Qué podemos hacer al respecto?
Si tienes un negocio que emplea códigos QR, comprobar de forma regular que no han sido cambiados ni modificados por terceras personas.
Usar un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc.
Comprobar que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos “apps” de lectura que permitan consultar la URL antes de abrirla.
Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta manera se podrá comprobar la dirección a la que enlaza el código.
El conocimiento de estas estafas y como evitarlas es esencial tanto como para cualquier empresa al igual que a nivel personal. En Nuanet esperamos que esta información te haya sido útil para informar sobre estos tipos de amenazas y que no seas víctima de un ciberataque por este medio.
- Jaime Aguirre
Comments