Buscar
  • CertiNet

ALERTA No utilice códigos QR basados en URLs cuando la seguridad y la privacidad son primordiales.

¿Pueden ser usados códigos QR para realizar ataques de Phishing? ¡¡¡Absolutamente!!!


Muchas organizaciones, para facilitar la verificación de los documentos emitidos han comenzado a incorporar códigos QR que contienen URL.

Algunos ejemplos de ello se pueden ser certificados de compañías de seguros, títulos y expedientes académicos, informes patológicos, recibos, licencias emitidas por el gobierno, informes de inspección, etc.




La idea es que cuando un tercero se encuentre con este documento, pueda usar cualquier aplicación de escaneo de códigos QR en su teléfono; luego escanee el código y abra la URL en el navegador del teléfono.

Aunque resulta atractivo, esto ignora por completo todo lo que hemos aprendido mientras luchamos contra el phishing. No es solo teórico, es una amenaza presente y activa.



Anteriormente, los enlaces dentro de los correos electrónicos se introdujeron porque eran convenientes, pero hace un rato que los Bancos en particular tienen campañas de que ellos no enviarán links en los correos por temas de Seguridad. Ahora muchos están repitiendo los mismos errores con los códigos QR.


En realidad, esto es mucho peor porque:


· En un correo electrónico, un usuario que está alerta puede darse cuenta de que un enlace de URL es de phishing porque es texto. En cambio en un código QR realmente no hay esta opción, porque los enlaces de los QR sólo son legibles por máquina y, peor aún, la mayoría de las aplicaciones de lectura de códigos QR abren estos enlaces de inmediato.


· Un factor agravante es que en los teléfonos inteligentes debido al espacio limitado, es aún más difícil discernir la URL de la página. Además, muchas aplicaciones de lectura de códigos QR ahora abren la URL dentro de la propia aplicación y las protecciones tradicionales basadas en el navegador no se activan.


· Otro problema es que muchas aplicaciones de lectura de códigos QR, son gratuitas, se basan en publicidad y recopilan información sobre lo que se escanea.


Si se utilizan códigos QR para información confidencial, es posible que se esté filtrando esta información al alentar a los usuarios a utilizar cualquier aplicación de lectura de códigos QR para escanear sus códigos.


En la mayoría de los negocios se necesita escanear códigos QR todo el tiempo y en Qryptal se preocuparon tanto del tema que desarrollaron una aplicación propia para mantener la privacidad.


¿Qué podemos hacer frente a esto?


En aplicaciones de verificación/seguridad, detenga inmediatamente la práctica de colocar URL dentro de códigos QR. Ya no lo haga.


Para tales aplicaciones, use una de las siguientes opciones:


· Desarrolle su propia solución o use una solución como Qryptal, que le ayuda a generar códigos QR firmados digitalmente a prueba de manipulaciones, que deben ser escaneados y verificados por aplicaciones aprobadas.


Una vez que el contenido del código está protegido, puede colocar lo que haga sentido dentro de él, incluidas las URL. Esto conserva toda la facilidad de uso existente una vez que el usuario ha instalado la aplicación aprobada.


· Deje de usar códigos QR e imprima un número de seguimiento largo e imposible de adivinar en sus certificados y guíe al usuario para que visite su sitio web para ingresar el número de seguimiento para validar la información.


El número debería ser imposible de adivinar porque, de lo contrario, cualquiera podrá visitar su sitio web y buscar información. Por supuesto, esta opción no es conveniente y disuadiría a la mayoría de usar el sistema.


La mayoría de las personas tienen un alto nivel de confianza en la tecnología y no saben que cualquiera puede crear y/o duplicar códigos QR fácilmente.


Una mala experiencia puede echar por tierra el objetivo de usar esta tecnología en tales aplicaciones.


Al igual que con cualquier “tecnología” actual, las organizaciones deben usar los códigos QR de manera responsable con la seguridad y la privacidad como consideraciones primordiales.



Qryptal es representado por CertiNet S.A. www.certinet.cl para más información contáctenos a ventas@certinet.cl


78 visualizaciones0 comentarios