Alberto Bazbaz Sacal: ¿Son seguros los códigos QR?

Alberto Bazbaz Sacal: ¿Son seguros los códigos QR?

(Contenido patrocinado)

Como especialista en inteligencia financiera, Alberto Bazbaz Sacal explora las amenazas a la seguridad financiera; principalmente, las ciberamenazas y cómo los gobiernos, las empresas, las organizaciones y los ciudadanos locales pueden mejorar la ciberseguridad en sus respectivas plataformas y evitar los ciberataques.

Las medidas de ciberseguridad avanzadas (e incluso básicas) tienen una gran lista de variaciones de ciberataques con las que lidiar. Las estafas de phishing, el descifrado de contraseñas y los ataques de malware destructivo pueden aparecer en los titulares, pero en realidad, los ciberatacantes tienen opciones. Y cuando se trata de seguridad digital, las opciones son peligrosas.

Especialmente cuando una de esas opciones es algo que usamos todos los días.

¿Son una amenaza los códigos QR? Como la mayoría de las cosas en la vida, hay más de lo que parece cuando se trata de códigos QR, explica Bazbaz Sacal. Con la aparición de COVID-19, estos códigos solo se han vuelto más frecuentes en restaurantes y bares que buscan minimizar el contacto directo entre empleados y clientes. Los comensales pueden escanear códigos QR para ver los menús, y algunas empresas también ofrecen pagos sin contacto a través de un código QR.

¿Qué es un código QR?¿Alguna vez ha visto uno de esos patrones cuadrados en blanco y negro en un restaurante o tienda que parece una prueba de Rorschach más limpia? Ese es un código QR o de "Respuesta rápida" por sus siglas en ingles. La idea detrás de esto es tomar información de una forma de medio y almacenarla en su teléfono celular. (¿Ves el peligro potencial ahora?)

Si ha utilizado un código QR antes, entonces sabe cómo funciona. Toma tu teléfono, escanea el código con tu cámara y observa cómo te redirigen a lo que una empresa quiere que veas. Los códigos QR también tienen la capacidad de almacenar más datos, lo que significa que pueden incluir enlaces URL, coordenadas de ubicación, etc.

Aumento de los códigos QRLos códigos QR se han presentado como una opción compatible con COVID para las empresas y sus clientes. Lo que una vez fue una novedad se ha convertido en la nueva "cosa" para tener. Los clientes quieren sentirse seguros, y los códigos QR son solo otra herramienta para que las empresas creen una experiencia de compras o comidas sin contacto.

Ingresan: Los oportunistas.

Los ciberataques son extremadamente peligrosos, no solo por lo que hacen, sino por cómo lo hacen. Suelen ser bastante inteligentes y astutos. Sin mencionar que saben cuándo aprovechar la oportunidad.

Miles de empresas que incorporan códigos QR en sus flujos de marketing son esa oportunidad, señala Bazbaz Sacal. Los ciberataques están atacando rápido, aprovechando la oportunidad para capitalizar en grande. Los códigos QR abren una gran cantidad de peligros. Los atacantes pueden acceder a cuentas bancarias, cargar malware caótico e invadir las redes corporativas. Todo en un lapso de segundos.

Siempre decimos cosas como "Vivimos en una era digital" o "Somos testigos de la saturación digital" y, irónicamente, la pandemia solo ha enfatizado esto. Vivimos en una era digital, y está creciendo como resultado de las prácticas que debemos seguir a la luz del COVID-19.

Bazbaz Sacal dice que muchas empresas habían renunciado a los códigos QR, solo para volver a promulgarlos tras la aparición del coronavirus. Independientemente, parecen aquí para quedarse, por lo que es aún más importante que las empresas y los usuarios comprendan qué son los códigos QR y cómo pueden poner en peligro la seguridad.

El caso contra los códigos QRAlberto Bazbaz Sacal destaca uno de los aspectos más problemáticos de los códigos QR: son engañosos. Están naturalmente diseñados de una manera que hace que sea difícil distinguir uno de otro. Entonces, ¿qué pasa si uno es falso?

A Alberto Bazbaz Sacal y a otros líderes de seguridad les preocupa que demasiadas personas no puedan distinguir un código QR real de uno malicioso, lo que convierte a estas herramientas tecnológicas en una amenaza inmediata.

Dado el estado del mundo, los códigos QR ahora se utilizan para pagos más que cualquier otra cosa. ¿Recuerda ese antiguo modismo de "con dinero baila el perro?" En este caso lo hace, y las personas que bailan son ciberatacantes que buscan llevar a cabo estafas financieras fáciles y acumular capital rápido.

Abundan las oportunidades para los ciberataques cuando se trata de utilizar códigos QR falsos para obtener acceso a los datos o información personal de un usuario.

Alberto Bazbaz Sacal dice que debemos pensar en un código QR como una tarjeta de presentación virtual. Cuando se escanean, la información de contacto del código QR se almacena en su dispositivo. Si esa información de contacto está cargada con datos maliciosos, se acabó el juego.

Y eso es solo la punta del iceberg. Los códigos QR también se utilizan para activar llamadas telefónicas, mensajes de texto o correos electrónicos, localizar ubicaciones, redirigir a los usuarios a sitios web, establecer eventos de calendario, conectarse a redes Wi-Fi... todo lo cual puede ser secuestrado y controlado por un ciberataque.

Con esto en mente, Alberto Bazbaz Sacal cree que el caso contra los códigos QR es bastante claro. Hasta que tengamos mejores formas de detectar códigos QR falsificados, los usuarios deben tener cuidado. Con la digitalización ha llegado la dependencia de los dispositivos móviles. Los usamos para mantenernos conectados con amigos y familiares, publicar en las redes sociales e incluso almacenar información financiera valiosa (¿Cuánto más fácil es usar la banca móvil en lugar de visitar una ubicación física?).

Más allá del uso personal, muchos empleados confían en sus propios dispositivos móviles para mantenerse conectados con sus trabajos fuera del horario de atención o para trabajar desde cualquier lugar. Y teniendo en cuenta la tendencia de este año de trabajar desde casa, puede apostar a que incluso más personas acceden a aplicaciones basadas en la nube y software para trabajos específicos.

De nuevo es una cuestión de ironía, dice Alberto Bazbaz Sacal. Al hacer todo lo posible para mantenernos productivos, también podríamos poner en riesgo a nuestras empresas. Por ejemplo, ¿qué pasa si alguien que accedió a aplicaciones basadas en el trabajo también escaneó un código QR malicioso usando el mismo dispositivo? Hacerlo sin darse cuenta pone en peligro al usuario y a su empleador.

¿Qué se puede hacer?El hecho es que los códigos QR no van a desaparecer. Son fáciles de usar y facilitan un entorno físicamente más seguro a la luz de la pandemia de coronavirus. Lo que significa que los expertos en ciberseguridad como Alberto Bazbaz Sacal tienen mucho trabajo por hacer.

El especialista en inteligencia financiera se apoya en la necesidad de educar al público. Esto es más importante que nunca en su país de origen, México, donde las fintech están creciendo día a día y, desafortunadamente, varios bancos y otras empresas han sido sometidos a intentos de ciberataques (más aún durante la pandemia).

Todos pueden beneficiarse de la educación en ciberseguridad, porque todavía hay demasiadas personas y empresas que no se toman en serio la ciberseguridad. Dado que existe tanta dependencia de los dispositivos móviles, Alberto Bazbaz Sacal cree que las empresas deben repensar las estrategias de seguridad móvil.

Hay formas de mejorar la administración unificada de terminales para que se puedan monitorear todos los dispositivos, aplicaciones y redes que se usan para acceder a datos confidenciales. Solo entonces las empresas podrán protegerse verdaderamente a sí mismas en un mundo en el que muchos empleados están dispersos por todo el mundo y, a menudo, trabajan desde casa.

En el futuro, las empresas deberían:

?       Infórmese sobre las tendencias actuales y las mejores prácticas de ciberseguridad.?       Revaluar las medidas de ciberseguridad en toda la empresa.?       Modificar las medidas según sea necesario y establecer planes para el "peor escenario"?       Educar a los empleados mediante capacitaciones, talleres y presentaciones periódicas  

Los ciberataques están ahí fuera. Ahora, depende de todos los que tienen información confidencial (ver: todos) formar un frente unido contra estos sabios destructores. Este frente unido comienza con la conciencia y la comprensión de que incluso algo tan aparentemente simple, como un código QR, tiene sus debilidades.

Conocer estas debilidades puede ayudar a los usuarios de dispositivos móviles a tomar decisiones conscientes en el futuro.

Sobre Alberto Bazbaz SacalAlberto Bazbaz Sacal es especialista en inteligencia financiera y ex presidente del Grupo de Acción Financiera sobre Lavado de Dinero (GAFILAT) para América Latina y Sudamérica.