Los ataques con códigos QR, como el ransomware y los ataques de phishing, son cada vez más frecuentes en el panorama global de amenazas. Con los nuevos tipos de ciberamenazas que se prevé aumentarán en 2022, los usuarios deben estar atentos a los riesgos involucrados y pensar antes de escanear su próximo código QR ya que pueden generar pérdidas millonarias a las empresas.
Desde el estallido de la pandemia COVID-19, ha habido un cambio dramático en la tecnología de consumo en todo el mundo. La tecnología de respuesta rápida (código QR) fue bien recibida y muy utilizada después de que las personas recurrieron a las transacciones sin contacto. Sin embargo, el aumento de las transacciones digitales a través de la tecnología de códigos QR también introdujo nuevas ciberamenazas, que la mayoría de la gente desconoce.
Según la investigación, más de 1.500 millones de personas aprovecharon los códigos QR para transacciones digitales en 2020 a nivel mundial, y los actores de amenazas ya han explotado la tendencia.
Es malo abusar de la tecnología de código QR
Un código QR es un código de barras que permite a los usuarios acceder instantáneamente a la información mediante un dispositivo digital. Los códigos QR almacenan datos como una serie de píxeles en una cuadrícula de forma cuadrada y se utilizan principalmente para rastrear detalles de un producto en particular en una cadena de suministro. Los códigos QR basados en el consumidor plantean graves amenazas a la seguridad de los sistemas y datos corporativos. Varios grupos de ciberdelincuentes explotan códigos QR a través de ataques Quishing y QRLjacking para comprometer los dispositivos específicos y robar datos financieros confidenciales.
Tipos de ataques de código QR
Al igual que los ataques de phishing, los "Malos Actores" de utilizan diferentes señuelos y tácticas para engañar a los usuarios para que escaneen el código QR malicioso. Los tipos de ataques de códigos QR incluyen:
1. Quishing
En un ataque Quishing, los "Malos Actores" envían un correo electrónico del tipo phishing que contiene un archivo adjunto de código QR malicioso. Una vez que el usuario escanea el código QR, lo dirigirá a una página de phishing que captura datos confidenciales como las credenciales de inicio de sesión de los usuarios.
2. QRLjacking
La mayoría de las organizaciones utilizan el inicio de sesión con código de respuesta rápida (QRL) como una alternativa a los procedimientos de autenticación basados en contraseña. Un QRL permite a los usuarios iniciar sesión en sus cuentas escaneando un código QR, que está encriptado con las credenciales de inicio de sesión del usuario.
QRLJacking es como un ataque de ingeniería social capaz de secuestrar sesiones que afectan a todas las cuentas que dependen del inicio de sesión con la función de código QR. En un ataque de QRLjacking, los "Malos Actores" engañan a los usuarios involuntarios para que escaneen un QRL especialmente diseñado en lugar del legítimo. Una vez que la víctima escanea el QRL malicioso, el dispositivo se ve comprometido, lo que permite al atacante tomar el control total del dispositivo.
Además, los "Malos Actores" aprovechan las técnicas de "trampas", como atraer a los usuarios con una red Wi-Fi gratuita que escanea el código QR. Los "Malos Actores" también reemplazan los códigos QR en lugares públicos con códigos maliciosos que redirigen a los usuarios a sitios de phishing. Los códigos QR maliciosos pueden conectar el dispositivo de la víctima a una red maliciosa para revelar la ubicación del usuario e iniciar pagos fraudulentos. La mayoría de los códigos QR fraudulentos pueden evadir fácilmente las detecciones de seguridad tradicionales que solo escanean el contenido del correo electrónico / sitio en lugar de códigos de barras sospechosos.
Cómo prevenir ataques de códigos QR
Si bien evitar los escaneos de códigos QR puede ser poco práctico, tomar ciertas medidas proactivas puede ayudar a mitigar los riesgos asociados con la tecnología de códigos QR.
No inicie sesión en una aplicación o servicio mediante un código QR.
Recuerde, no es necesario escanear un código QR para recibir dinero. Por lo tanto, nunca creas cuando alguien te anima a hacerlo.
Nunca inicie el pago, si recibe una notificación para poner información confidencial cuando escanea un código QR.
Evite escanear códigos QR aleatorios de fuentes sospechosas o desconocidas.
No escanee códigos QR recibidos a través de correos electrónicos de fuentes desconocidas.
Asegúrese de que el QR sea original y no esté pegado con otro.
Utilice un software de seguridad para escaneo QR para ver la URL antes de hacer clic.
Visión de Inntesec sobre una cultura de ciberseguridad
El usuario es el eslabón más débil de la cadena de seguridad
El eslabón más débil en la cadena de seguridad son las personas, donde, los “errores humanos” son una puerta de entrada para los ataques, esta situación advierte sobre la importancia de avanzar con un cambio cultural al interior de las organizaciones. Buscamos crear conciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una organización es clave en esta transformación para llevarlo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS).
Invertir en el usuario es la mejor decisión para evitar el engaño y las pérdidas
Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más adecuada, ya que los malos “Actores” (ciberdelincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millonarias. “Está demostrado que la tecnología por sí sola no es suficiente”. Cabe destacar que el costo promedio de pérdidas económicas que provocaron los malos “Actores” (ciberdelincuentes) a las organizaciones en los últimos años superan los USD 2.500.000 y el costo promedio de una violación de datos es de USD 500.000.
A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprenderán a conocer y gestionar mejor los riesgos de seguridad por concepto de Human Hacking con relación a; social engineering, phishing, spear phishing, spoofing, ransomware, ATP. La capacitación de los empleados es el primer paso para prevenir las brechas de seguridad y establecer una estrategia de concientización en ciberseguridad e ingeniería social.
Programa sobre concientización en ciberseguridad
Implementar un Programa de Concientización de Ciberseguridad es clave, nuestra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola sobre el 50% de probabilidad real que sea víctima de un fraude, suplantación de identidad o data breach a menos de un 10% totalmente medible.
SECURITY AWARENESS, es parte de nuestra estrategia que busca llevar al usuario a un nivel de madurez de “Human Firewall”, servicios entregados por profesionales de alto nivel. A través de un programa online anual y con el apoyo de una plataforma eLearning 100% Cloud podemos simular, capacitar y entrenar a los usuarios que son el eslabón más débil e importante de una organización, en temas sobre concientización en ciberseguridad e ingeniería social. Mediante campañas programadas podemos ejecutar diversos métodos de ataque tales como: Phishing, Spear Phishing, CEO Fraud, Social Engineering.
Nuestra metodología está basada en tres ejes:
Charlas sobre Concientización en Ciberseguridad (charlas con foco en lo que la organización necesite o bien nuestra propuesta sobre temas reales).
Programa eLearning de Ciberseguridad (newsletter, video educativos, módulos de entrenamiento y evaluaciones).
Plataforma Simulación de Ataques Ethical Phishing (ataques simulados del tipo social engineering, phishing, spear phishing, spoofing, entre otros).
Al tomar nuestro programa sobre Concientización en Ciberseguridad (Security Awareness) enfocado en el Usuario, serás parte de aquellos que han decidido ser un Human Firewall, capacítate con nosotros y conoce nuestros Cursos e-Learning.
¡Excelentes Noticias para ti!, Inntesec Academy con cursos en Sence
Quiero compartir contigo una excelente noticia, oficialmente SENCE nos dio su aprobación para ser OTEC. Estamos subiendo una serie de Cursos sobre Concientización en Ciberseguridad entre muchos otros. A través de nuestra plataforma e-Learning 100% Cloud, los usuarios pueden acceder y tomar los cursos con sus respectivas mediciones y evaluaciones.
Nuestro Centro de Capacitación Online Inntesec Academy ya está disponible para que puedan obtener los beneficios tributarios SENCE y sobre todo Entrenar a los Usuarios en materia de Concientización en Ciberseguridad, Giovani Becerra, CEO
Pueden ver algunos de nuestros cursos en nuestra Plataforma Web www.inntesec.com/e-learning y también preparamos cursos según la necesidad de cada organización.
Contáctanos a ventas@inntesec.com y conoce sobre nuestro Programa de Inntesec Security Awareness y evaluaremos una PoC sin costo.
Fuente: Rudras Srinivas de CISO MAG, Giovani Becerra de Inntesec