\n<\/p>\n
Los ataques de phishing basados \u200b\u200ben c\u00f3digos QR parecen estar en aumento. Para este \u201cnuevo\u201d vector de pirater\u00eda, alguien recibe un correo electr\u00f3nico de phishing pidi\u00e9ndole que escanee un c\u00f3digo QR, ese c\u00f3digo redirige a un enlace malicioso (generalmente para robar credenciales) y se produce una apropiaci\u00f3n de la cuenta. Las organizaciones de noticias locales han advertido al p\u00fablico que tenga cuidado, las publicaciones de liderazgo en seguridad dicen a los ejecutivos que tengan cuidado y las compa\u00f1\u00edas de seguridad realmente quieren que usted lo llame quishing.<\/p>\n
Para ser justos, \u00faltimamente ha habido algunos titulares notables al respecto. Una versi\u00f3n a gran escala de esto contra una \u201cimportante\u201d compa\u00f1\u00eda energ\u00e9tica estadounidense an\u00f3nima persigui\u00f3 los inicios de sesi\u00f3n de Microsoft, seg\u00fan un informe de Cofense de agosto. Los investigadores de seguridad han informado un\u00e1nimemente de alg\u00fan nivel de aumento o pico en el vector de ataque este a\u00f1o. Incluso la Comisi\u00f3n Federal de Comercio advirti\u00f3 a los consumidores sobre los peligros.<\/p>\n
Sin embargo, la fanfarria en torno a estos ataques supera en gran medida la amenaza de utilizar c\u00f3digos QR en la vida diaria. El phishing ha sido, y probablemente siempre ser\u00e1, una forma frecuente de atrapar a las v\u00edctimas, y lo que vemos cuando la gente habla de ataques con c\u00f3digos QR es simplemente otra forma de hacerlo. Es por eso que, a pesar de que los informes pueden generalizar los peligros de los c\u00f3digos QR en su conjunto, algunas pr\u00e1cticas de seguridad de sentido com\u00fan que ya utiliza para evitar el phishing tambi\u00e9n pueden ayudarle a evitar esta t\u00e1ctica. Otros vectores de ataque avanzados basados \u200b\u200ben QR fuera del phishing probablemente sean demasiado complicados t\u00e9cnicamente y de baja recompensa para que los intenten los delincuentes, o para que usted se preocupe.<\/p>\n
Los ataques de phishing que funcionan dirigiendo a la v\u00edctima a un enlace malicioso son incre\u00edblemente comunes y los c\u00f3digos QR son esencialmente otra forma de ejecutarlos. Los c\u00f3digos QR est\u00e1n \u201csaltando a una brecha de seguridad\u201d, dijo Randy Pargman, director de detecci\u00f3n de amenazas de la firma de seguridad Proofpoint. Obliga a la v\u00edctima a alejarse de su computadora y a usar un tel\u00e9fono celular u otro dispositivo, agregando un nivel de distracci\u00f3n. Adem\u00e1s, seg\u00fan Pargman, las personas tienen m\u00e1s probabilidades de caer en un enlace de phishing en un dispositivo m\u00f3vil.<\/p>\n
La escala m\u00e1s peque\u00f1a hace que sea m\u00e1s dif\u00edcil saber qu\u00e9 es leg\u00edtimo; por ejemplo, no se puede ver f\u00e1cilmente un enlace completo para se\u00f1alar discrepancias y, en general, tendemos a sentirnos m\u00e1s seguros en nuestro mundo port\u00e1til. Escanear un c\u00f3digo QR en un tel\u00e9fono aleja a la v\u00edctima de su computadora. Eso podr\u00eda significar que tiene menos complementos de seguridad instalados en su navegador que le advertir\u00edan que se mantenga alejado de sitios sospechosos, aunque m\u00e1s navegadores tienen protecciones autom\u00e1ticas contra ambos. O, si lo lleva de un dispositivo de trabajo a uno personal, un equipo de seguridad probablemente respalde la computadora, pero no su tel\u00e9fono celular, con protecciones adicionales para evitar que usted sea v\u00edctima. Pero, por otro lado, esto es mucho menos eficiente para los estafadores. Se supone que la v\u00edctima tiene acceso a dos dispositivos, en lugar de simplemente hacer clic en un enlace.<\/p>\n
Adem\u00e1s, la gente tiende a escanear los c\u00f3digos QR, incluso si provienen de una fuente desconocida, porque estamos muy acostumbrados, seg\u00fan Fae Carlisle, ingeniera de seguridad principal de la empresa de ciberseguridad Carbon Black. \u201cRegularmente se le pide a la gente que escanee un c\u00f3digo QR para mostrarles un mapa de un lugar, que voten en un concurso, que visiten Instagram, etc.\u201d, dijo Carlisle. \u00abDebido a la confianza inherente, la gente la acepta\u00bb. Los piratas inform\u00e1ticos aparentemente vieron esta tendencia y descubrieron que pod\u00edan explotarla.<\/p>\n
Si bien la aplicaci\u00f3n de c\u00f3digos QR a ataques de phishing es bastante sencilla, el revuelo en torno a su uso en otros vectores maliciosos termina ah\u00ed. Los profesionales de seguridad desaconsejan escanear c\u00f3digos QR desconocidos, de la misma manera que no debes conectar una memoria USB aleatoria a tu dispositivo. Pero, si bien siempre debes estar en guardia para protegerte contra ataques de phishing, realmente no tienes que preocuparte por el uso de c\u00f3digos QR en tu vida diaria porque todav\u00eda es raro verlos utilizados como t\u00e1ctica de pirater\u00eda.<\/p>\n
Esto es importante porque cuando pensamos en c\u00f3digos QR, normalmente no pensamos en recibirlos en correos electr\u00f3nicos. Probablemente est\u00e9 m\u00e1s familiarizado con ellos por interacciones del mundo real, como un llamado a la acci\u00f3n en un volante o un men\u00fa escaneado para ordenar en un restaurante. Mirando mi propia bandeja de entrada y mi escritorio, los casos en los que obtengo un c\u00f3digo QR son pocos y espaciados, tal vez con la excepci\u00f3n de algunas aplicaciones de autenticaci\u00f3n multifactor y el inicio de sesi\u00f3n cruzado para VPN. B\u00e1sicamente, para un hacker que persigue objetivos cotidianos, cuanto menos esfuerzo, mejor, y pegar un c\u00f3digo QR envenenado por todo el espacio f\u00edsico con la esperanza de que alguien lo escanee es mucho trabajo, seg\u00fan Pargman. El env\u00edo masivo de correos electr\u00f3nicos de phishing es much\u00edsimo m\u00e1s eficiente.<\/p>\n
Si bien tambi\u00e9n es posible imaginar una situaci\u00f3n de apropiaci\u00f3n de enlaces, en la que el destino de c\u00f3digos QR leg\u00edtimos se redirige a una URL maliciosa, eso realmente no se ha visto todav\u00eda. No s\u00f3lo supone un gran esfuerzo, sino que requerir\u00eda que un atacante identificara un c\u00f3digo QR ampliamente utilizado. Eso significar\u00eda obtener la informaci\u00f3n del c\u00f3digo y luego esperar que valga la pena el trabajo. \u00abQuishing\u00bb puede ser leg\u00edtimo, pero evitar los c\u00f3digos QR a toda costa probablemente vaya demasiado lejos.<\/p>\n
Si algo parece extra\u00f1o al escanear un c\u00f3digo QR, haga una pausa antes de continuar. \u00abSi est\u00e1s escaneando el men\u00fa de un restaurante y te pide que inicies sesi\u00f3n en tu cuenta de Gmail para acceder al men\u00fa, es un paso muy inesperado\u00bb, dijo Olesia Klevchuk, directora de marketing de productos de la empresa de seguridad Barracuda Networks. \u00abEse es el tipo de cosas a las que queremos estar atentos\u00bb. Pero si solo desea obtener m\u00e1s informaci\u00f3n sobre una exhibici\u00f3n en un museo o realizar un registro sin contacto en el gimnasio, probablemente no tenga nada de qu\u00e9 preocuparse.<\/p>\n<\/div>\n