Seguritecnia 489

/ Septiembre 2021 64 Opinión puede impedir a los ciberdelin- cuentes poner como objetivo de sus ataques una aplicación del sistema nacional sanitario o el pasaporte de vacunación como siguiente paso? Abuso de los códigos QR Los códigos QR forman parte de los pasaportes de vacunación, ya que son una forma rápida y sencilla de contrastar cualquier información sin necesidad de es- tablecer un contacto personal. El problema con los sistemas funcio- nalmente sencillos es que son vul- nerables y pueden ser fácilmente hackeados. Como he mencionado anterior- mente, los ciberdelincuentes han pasado todo el confinamiento ideando nuevas formas de atacar a los consumidores. Por tanto, lo más lógico es que agudicen su creatividad para hacer lo propio con los códigos QR. Los gobiernos y las empresas ven los códigos QR como una forma fácil y rápi- da de vincular a las personas con sitios web, campañas promocionales, des- cuentos en tiendas, registros médicos, pagos móviles y muchos otros usos. Pero estos no indican de antemano lo que lle- van. Cuando escaneas uno, no puedes saber lo que vas a obtener. Es igual de fácil iniciar la descarga de malware en un dispositivo que consultar el menú de un restaurante. Además, se pueden clo- nar fácilmente, por lo que una citación de vacunación podría ser utilizada por dos personas. Es por ello que los ciberatacantes es- tán creando cada vez más códigos QR; los incorporan a los menús de un restau- rante o a los registros de entrada en los locales con el fin de iniciar un ataque. Y si desean acceder a los sistemas de TI de una empresa, pueden conseguirlo simulando la entrada en un evento, ha- ciendo que su código QR malicioso sea fácilmente escaneado. La creciente amenaza asociada al uso de códigos QR se puso de manifiesto en un estudio reciente realizado por Ivanti. El 51 por ciento de los encuestados ex- presó su preocupación por su creciente uso, constatando que los escaneaban de todos modos. Y un tercio de la muestra admitió desconocer sus riesgos y no veía la necesidad de proteger sus dispositivos móviles. Riesgos que se ven agravados por el hecho de que el 49 por ciento de los encuestados no disponía de ningún software de seguridad para móviles. Seguridad corporativa Como conclusión, podemos afirmar que los códigos QR se han convertido en una importante amenaza para la segu- ridad. Siendo esto así, ¿qué medidas se podrían tomar para protegerse? Las em- presas, como las salas de conciertos y los estadios, podrían colocar los códigos QR en lugares que sean fáciles de escanear a distancia y difíciles de manipular físicamente, como por ejemplo detrás de un mostrador. Dado que los dispositivos móvi- les se utilizan tanto para activida- des personales como de negocio, es muy importante que consumi- dores y empresas den prioridad a la seguridad móvil de sus emplea- dos, independientemente de que el dispositivo sea propiedad de la compañía o del trabajador. Para conseguirlo, es necesario poner en marcha un modelo de seguridad de “confianza cero” que verifique continuamente cada acción antes de permitir a los usuarios de los dispositivos móviles acceder a la red corpo- rativa. El uso profesional de los dis- positivos móviles de los empleados se puede proteger utilizando un software de gestión unificada del dispositivo (UEM), junto con la gestión de amenazas (MTD) para detectar y remediar los ataques. UEM gestiona de forma independiente las aplicaciones de trabajo y las perso- nales y confirma que la comunicación entre la aplicación y la red están encrip- tadas y autorizadas. Mientras que los pasaportes de vacu- nación parecen ser un modelo sensato y conveniente para restablecer la nor- malidad en las economías europeas, los códigos QR presentan claramente un riesgo tanto a nivel privado como corporativo. Los códigos maliciosos, in- troducidos por los dispositivos móviles de los empleados, pueden comprometer los sistemas digitales y los datos de una organización. Las soluciones MTD y UEM ofrecen la necesaria tranquilidad, garan- tizando que los dispositivos móviles que se conectan a la infraestructura digital de la empresa están protegidos.