¿Puede haber malware detrás de los códigos QR que cada vez se utilizan más?

Las nuevas medidas de seguridad para evitar los contagios por coronavirus han traído consigo algunas prácticas que se están convirtiendo poco a poco en hábitos. Es el caso de la utilización de códigos QR para evitar cualquier tipo de contacto.

Esto es muy habitual en los bares y restaurantes, y su objetivo no es otro que evitar que las típicas cartas vayan de mano en mano entre los clientes y los empleados. Ya que, por mucho gel desinfectante que se utilice, el riesgo persiste.

Otros peligros

Si bien el riesgo para la salud desciende considerablemente en el momento en que no se tocan las cartas de menú o cualquier otro documento que es sustituido por un código QR, la que se puede ver en peligro es la “salud” del teléfono móvil, ya que dichos códigos pueden ser una puerta de entrada a malware por parte de los ciberdelincuentes.

A fin de cuentas, la imagen de los códigos se sitúa a la vista de todo el mundo y, claro está, se encuentra expuesta a diversos peligros. Uno de ellos es que sea sustituida por una pegatina similar que lleve a un sitio web diferente, con el riesgo que ello conlleva. Y por otro lado, los hackers podrían redireccionar y que el usuario termine en otra dirección o aceptando entrar a páginas con código malicioso.

Muy utilizados en España

Una compañía dedicada a la ciberseguridad y llamada MobileIron ha investigado sobre este tema y ha publicado algunas conclusiones que resultan cuanto menos preocupantes en caso de no poner las medidas de seguridad adecuadas. Lo primero que apunta es que España es uno de los países europeos donde más se emplean los códigos BIDI o QR, especialmente tras la llegada de la pandemia.

No hay que olvidar que el negocio de la restauración y otros servicios por el estilo son muy populares en nuestro país, lo que implica un uso masivo de este tipo de tecnología. Por lo tanto, si en un lugar hay que tomar precauciones, es aquí, ya que una gran mayoría de los usuarios de móviles suele leer códigos QR. Y para mostrarlo, las cifras del estudio apuntan que si a nivel global solo un 43% lo utilizaría como método de pago, en España ese porcentaje se dispara al 73%.

Teléfono con un código QR / Markus Winkler EN PIXABAY

Casi todos los usuarios

Otra de las cifras que aporta el estudio y que demuestra la tasa de penetración de estos códigos entre los usuarios españoles es que más del 90% de los encuestados había escaneado en algún momento un código QR.

Sin embargo, lo que realmente sorprende es que hasta un 44% reconocía haber obtenido algo inesperado en alguno de esos escaneos. Es decir, o le sucedió algo “raro” o le llevó a una web cuanto menos sospechosa. Eso sí, a pesar de todo, la mayoría seguirá confiando en este modelo e incluso, como se ha apuntado antes, hasta pagaría o votaría con él.

¿Qué se puede hacer al respecto?

Según la compañía MobileIron, las empresas deben asegurar que los códigos que ofrecen a sus usuarios están libres de cualquier código malicioso y para ello deben contar con estrategias de seguridad. Esto también sucede con las compañías que tienen a sus empleados trabajando con sus propios dispositivos móviles, sea en modelo de teletrabajo o no.

En este caso hay que tener en cuenta que esos trabajadores utilizan los mismos dispositivos para su vida personal y para sus quehaceres laborales, de manera que con el mismo teléfono pueden leer un código QR malicioso y poco después entrar en un cualquier carpeta o aplicación de la empresa para la que trabajan. Si se ha instalado malware en el teléfono, podría tener acceso a los datos empresariales. Además, según datos de la propia MobileIron, el 71% de las personas no sabe distinguir los códigos maliciosos de aquellos que no lo son.

Nueva vía de ataque

“Los hackers están atacando a través de diferentes vectores de amenazas móviles, como emails, mensajes de texto y SMS, mensajería instantánea, redes sociales y otras formas de comunicación”, ha expuesto Alex Mosher, vice presidente global de Soluciones de MobileIron.

Mosher también ha vaticinado que “pronto presenciaremos un aluvión de ataques a través de los códigos QR. Un hacker podría fácilmente insertar una URL maliciosa que contenga malware de un cliente en un código QR, lo que podría extraer información si se escanea desde un dispositivo móvil. O el hacker podría insertar una URL maliciosa en un código QR dirigida a un site de phishing, invitando a los usuarios a compartir sus credenciales, que el hacker podría robar y utilizar para infiltrarse en una empresa”.