PRIMERA PARTE
1. Qué es el código QR?
QR ("Quick Response", "respuesta rápida") es un código de barras bidimensional inscrito en un cuadrado para almacenar datos codificados. Generalmente los datos son un enlace a una página web pero también sirven para almacenar texto por ejemplo el menú en un restaurante; fue desarrollados por la compañía japonesa Denso Wave en 1994.
2. Capacidad del código QR
- 7.089 caracteres numéricos
- 4.229 caracteres alfanuméricos
- 2.953 bytes
Hay dos tipos: estáticos y dinámicos; en el dinámico puede cambiar el contenido a través de una página puente o tandem.
3. ¿Cómo se lee un código QR?
Con un celular
Si la cámara de su celular no tiene lector de QR puede bajarlo de Play Store
Haga la prueba y obtenga el poema contenidoCon un computador
En internet hay muchas páginas para decodificar, en su pc, códigos QR; para acceder a una segura (por lo menos al momento) haga clic aquí.
4. ¿Cómo genero códigos QR?
En internet hay muchas páginas para generar códigos QR. Haga clic aquí para acceder a una de ellas.
5. ¿Acceder a una página no segura es más fácil con QR o a mano?
Por lo menos es más rápido con QR que a mano. Con QR no tiene que tipear la dirección, pero los peligros son los mismos.
6. ¿Algunos ejemplos de uso de QR?
El menú
Lugares turísticos
"Santa Cruz, Galápagos. 25.11.2019). Un código QR permitirá mejorar la calidad de los servicios turísticos de Galápagos y facilitar los procesos para reportar sugerencias. La Coordinación Zonal Insular del Ministerio de Turismo implementó una herramienta digital para fortalecer el control de los establecimientos y evaluar los estándares de calidad del destino.
Un total de 45 establecimientos de alimentos y bebidas, alojamientos y agencias de viajes han colocado este código en lugares visibles, para que los turistas nacionales y extranjeros evalúen el servicio y su experiencia durante el recorrido por las islas.
El QR fue creado en el Archipiélago, es de fácil acceso y está disponible en inglés y español para los sistemas operativos IOS y Android. La iniciativa se puso en marcha desde el 20 de septiembre.
Un código QR permitirá mejorar la calidad de los servicios turísticos de Galápagos y facilitar los procesos para reportar sugerencias.
¿Cómo calificar los servicios?
Con un teléfono móvil se puede escanear el código QR y acceder al formulario en línea para calificar la experiencia. Para teléfonos con sistema operativo IOS es posible hacerlo desde la cámara, para móviles con sistema Android se debe descargar una aplicación gratuita en Google Play.
Los usuarios evalúan los servicios turísticos, en una escala del 1 al 5, en temas de calidad, accesibilidad del destino y condiciones de las instalaciones turísticas. Además, en caso de ser necesario el formulario electrónico direcciona las quejas o denuncias para la gestión correspondiente."
Paradas de bus
En el taxismo en México
Viaje seguro. ¿Y como sabe que la página a la que está accediendo es segura?
En el taxismo en Ecuador
Muy buena la idea siempre que la página a la que está accediendo, el pasajero, sea segura y original.
7. ¿Se mercadea al código QR como elemento de transacciones seguras aunque no lo sea?
Sí
El código QR, en el mundo de la web, no es más que un enlace hacia una página web; por ejemplo si necesita acceder frecuentemente a la página
https://www.registrocivil.gob.ec/ tiene, entre tantas, las opciones siguientes:
- Tipear https://www.registrocivil.gob.ec/ en el navegador
- Anexarla a "Favoritos" de su navegador
- Con el código QR generado en el punto 4
En ningún caso se tiene la certeza de 100% de seguridad.
8. Ejemplos de phishing con QR
Escenario
- Suponga que existe en la zona un banco de nombre "Banco de descuento"
- Asuma que la página web del banco es https://www.bd.com
- El banco ofrece sorteos de casas a clientes fieles y los promociona en las redes sociales
La publicidad oficial
En la región todos los clientes y allegados del "Banco de Descuento" esperan ser beneficiados por sorteo de las casas por lo que están pendientes de los mensajes de Whatsapp que el banco anuncia enviará a los ganadores.
Un grupo de delincuentes ve propicia la situación para la fechoría e implementa una página parecida a la del banco que la llama "www.bdfiel.com" (donde la palabra fiel juega un papel preponderante desde el punto de vista de ingeniería social: engañar a los incautos) cuyo objetivo es hacerse con las credenciales de los clientes (usuario y contraseña).
Comienzan, los delincuentes, a enviar por correo o Whatsapp el código QR siguiente que direcciona a la página falsa, que, obvio, para este escenario ejemplo es inexistente, pero que tiene la imagen de la publicidad oficial del banco.
La página de inicio de la falsa www.bdfiel.com sería la siguiente
¿Qué debe hacer usted, en situaciones parecidas,de acuerdo al material de este blog?
Advertencia: bajo ninguna condición entregue sus credenciales y/o contraseñas
9. Trabajando con códigos QR dinámicos
El siguiente ejemplo es un código QR dinámico que para abrirlo debe usar la clave "meme"
(sin comillas)
Al ser dinámico se puede cambiar la clave luego de generado el código; este ejemplo es académico y ya la clave feneció ya que se hizo con software de prueba por quince (15) días.
SEGUNDA PARTE
10. Pagando con QR, el gran peligro.
Lo vi en una de mis oficinas (o una de las cafeterías que visito) en Loja.
Nota:
Modifiqué el código QR tanto como el arte para evitar perjudicar a institución alguna
La letra grande:
Escanea el Código y paga
La letra pequeñita:
- Entra a la app y elige pagar
- Escanea el código QR de arriba
- Ingresa el monto y confirma el pago
Tal como está diseñada la publicidad provoca que el cliente escanee el código (hice algunas pruebas con amigos), sin considerar la letra pequeñita, y reciba como respuesta el siguiente texto:
eyJ0eXBlIjoxLCJ0b2tlbiI6IjlDMDYxMjA4NkMxOUNBMkNCRjlBMTZCMEZFREY3OEM1RDMyRjc4MEUifQ==
El gran peligro
Que venga el ciberdelincuente con un arte modificado y suplante al original, en la cafetería o similares, para redireccionar a una página falsa imitación del legítimo donde se le pide que se registre con nombre de usuario y contraseña. Como en la pesca una forma de atrapar a la víctima a más de los emails. En el peor de los casos le saquearán la cuenta o venderán sus datos.
Ejemplo de arte de un app anzuelo para engañar.
Entonces otra vez mi consejo:
Un consejo más de viejo que de diablo o el punto de arranque
Vaya a la agencia más cercana de su banco y pida que le anoten el nombre de la app para celulares de su banco en un papelito. No googlee, en Google, buscando lo que no se le ha perdido. Una alternativa al viaje a la agencia es la guía telefónica y una llamadita o buscar en medios publicitarios de gran circulación.
11. QR en uno y otro lado sin y con razón
Caso 1
Lo vi en uno de mis libros recientemente adquiridos.
¿Por qué poner un QR con el el link de la página web de Facebook y más no de la cuenta (Facebook) del autor del libro?
Caso 2
En los taxis de Loja
Cuando de marketing se trata
El QR embebido en el código se salud me direcciona a Google Play para descargar una app de movilidad y delivery
12. ¿En un documento firmado con firma electrónica, con el único software oficial ecuatoriano FirmaEC, qué espera del QR estampado?
- Solo texto informativo
- El link para acceder a la página de validación
Saque sus propias conclusiones
Un artículo aleccionador
Puede leer el artículo completo haciendo clic aquí
Cuidado con la modalidad de ‘phishing’ a través de códigos QR
La Policía Nacional ha detectado en Málaga esta forma de ‘phishing’. El Instituto Nacional de Ciberseguridad también pide precaución ante este tipo de estafas, impulsadas por el uso de estos códigos durante la pandemia
Según ha advertido la Policía Nacional, se han registrado casos en los que estos códigos nos pueden llevar a una web fraudulenta donde intentarán hacerse con nuestros datos personales. Es decir, una nueva técnica de phishing surgida tras la crisis de la COVID-19. Esto es lo que sabemos al respecto.
La Policía Nacional pone la voz de alarma
El cuerpo de la Policía Nacional ha alertado a través de sus redes sociales que ha detectado este tipo de estafa asociada al phishing en Málaga: “Mucho cuidado al escanear un código QR desconocido. La Policía ha detectado en Málaga una nueva modalidad de estafa a través de códigos QR”, dice el mensaje.
Lo que dice INCIBE sobre el ‘phishing’ y el código QR
El Instituto Nacional de Ciberseguridad (Incibe) publicó esta nota hace casi un año en su página web en la que alertaba de este nuevo tipo de estafas. Entre los riesgos que pueden sufrir los clientes debido al uso de estos códigos en los negocios destacan:
Ataques de phishing: “Los usuarios podrían proporcionar sus credenciales mediante el escaneo del código QR contenido en una web, mensaje o correo electrónico”, advierte el organismo El usuario, al escanear el código “es redirigido a una página web, que suplanta a la de la empresa donde se le solicita información confidencial”.
Descarga de malware o de código malicioso, mediante “el uso de sitios web maliciosos para distribuir malware contra los usuarios de dispositivos móviles, a través de la inyección de código malicioso”.
QR Jacking o secuestro de sesión. Es decir, el secuestro de nuestra cuenta de un servicio que acepte la función de “inicio de sesión con código QR”. Para ello “tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original que ha sido capturado previamente por los ciberdelincuentes”.
Por último los consejos que dan desde INCIBE son: comprobar de forma frecuente que los códigos en tu negocio no han sido modificados por terceras personas, elegir un generador de códigos QR o un servicio que ofrezca garantías, comprobar que el QR redirige a la página indicada, deshabilitar la apertura automática de enlaces al escanear un código QR, chequear que la URL es de un sitio fiable, no divulgar códigos QR por redes sociales.
No hay comentarios:
Publicar un comentario