Fraude de los códigos QR. ¿Cómo proteger la seguridad de tus clientes?

Ejemplo de QR: Nubelia.

Como sabemos, debido a la crisis Covid-19 el Gobierno ha establecido una serie de medidas en materia sanitaria que han cambiado nuestra manera de vida. Entre estas medidas se encuentra, por ejemplo, la eliminación de las cartas de menú de uso común en la hostelería y restauración o el uso de los trípticos informativos en museos u oficinas de turismo.

Para sustituir estos elementos se utilizan alternativas como las aplicaciones para dispositivos móviles o el uso de códigos QR, pero, ¿sabemos si esta alternativa es segura para los clientes desde el punto de vista de la ciberseguridad?

¿Qué son los códigos QR y para qué se usan?

Un código QR es la evolución del código de barras. Es un módulo para almacenar información en una matriz de puntos o en un código de barras bidimensional. La matriz se lee en el dispositivo móvil por un lector específico (lector de QR) y de forma inmediata nos lleva a una aplicación en internet y puede ser un mapa de localización, un correo electrónico, una página web o un perfil en una red social.

¿Cuáles son los riesgos al utilizar códigos QR?

Entre los riesgos que pueden sufrir los clientes a la hora de utilizar los códigos QR, destacan los siguientes:

  • Ataques de tipo phishing (Qrishing): El usuario, al escanear el código, es redirigido a una página web, que suplanta a la de la empresa y le solicita información confidencial. Si el usuario no verifica la dirección, puede ser engañado fácilmente.

  • Descarga de malware o inyección de código malicioso: Se caracteriza por la descarga de manera forzada de software malicioso cuando el usuario visita el sitio web al que redirige el código QR.

  • Qrljacking o secuestro de sesión: Este tipo de ataque se caracteriza por hacer uso de la ingeniería social para secuestrar la cuenta de un servicio que acepte la función “Inicio de sesión con código QR”, como por ejemplo Whatsapp Web. Al escanear el código QR, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta.

 

Entre las recomendaciones y buenas prácticas que debes tener en cuenta en tu negocio para que tus clientes no sean víctimas de dichos ataques, destacan:

  • Comprobar de forma frecuente que los códigos QR presentes en tu negocio no han sido cambiados ni modificados por terceras personas.

  • Elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc.

  • Comprobar que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos apps de lectura que permitan consultar la URL antes de abrirla.


    Si tiene alguna duda o consulta no dude en contactar con nosotros