Riesgos del phishing con códigos QR en la vida diaria
Un estudio muestra que hay más vulnerabilidad a estafas con códigos QR en los campus universitarios.
― 7 minilectura
Tabla de contenidos
Los Códigos QR, o códigos de respuesta rápida, no eran muy comunes antes de la pandemia de COVID-19. Sin embargo, a medida que la gente empezó a usarlos más durante la pandemia, se convirtieron en un objetivo para los hackers. Estos hackers crean códigos QR falsos que llevan a los usuarios a sitios web perjudiciales al ser escaneados. Para ver si el uso de códigos QR para Phishing es efectivo, hicimos un estudio en un campus de investigación.
Configuración del Estudio
Creamos dos tipos de carteles con códigos QR y los colocamos en áreas concurridas del campus. El primer cartel era simple, mientras que el segundo estaba diseñado para lucir profesional y ofrecía la oportunidad de ganar un cupón. Después del estudio, preguntamos a los Participantes sobre sus experiencias con códigos QR y phishing para entender mejor los resultados.
Tanto el estudio como la encuesta revelaron que la gente es más propensa a escanear un código QR bien diseñado, especialmente si promete algo atractivo como un cupón. Además, los resultados mostraron que las personas menos conocedoras de la tecnología están en mayor riesgo porque pueden no entender los peligros asociados con escanear estos códigos.
¿Qué son los Códigos QR?
Los códigos QR son códigos de barras bidimensionales que se usan para almacenar información. Fueron inventados en 1994 para ayudar a una empresa a manejar mejor sus productos. Desde entonces, su uso ha crecido en varios sectores, incluyendo el marketing y la educación. Los códigos QR son fáciles de usar, ya que casi todos los smartphones vienen con un escáner integrado. Durante la pandemia, los códigos QR ganaron popularidad para tareas como reservar pruebas de COVID-19 y registrarse en restaurantes.
Aunque los códigos QR ofrecen muchos beneficios, también vienen con importantes riesgos de seguridad. Debido a que la información que contienen puede ser cambiada, los hackers pueden enlazarlos a sitios web perjudiciales. Estos códigos falsos pueden ser colocados en áreas públicas, como universidades, para engañar a la gente a escanearlos. Los informes de expertos en seguridad indican que el phishing mediante códigos QR ahora es un problema común, con muchos casos que involucran intentos de robar información personal o dinero.
Importancia del Estudio
Para ver si el phishing con códigos QR es efectivo y cómo se compara con Estudios anteriores, establecimos una campaña en nuestro campus de investigación. Elegimos este lugar porque es frecuentado por muchos jóvenes conocedores de la tecnología. Creamos dos diseños de carteles y los colocamos en diez lugares diferentes donde suelen encontrarse volantes.
Cada cartel publicitaba una encuesta sobre inflación e incluía un código QR que enlazaba a un sitio web falso. El objetivo era ver cuál cartel atraía más escaneos. Nos aseguramos de obtener permiso para poner los carteles y de que fueran resistentes a la intemperie.
Diseño de Código QR y Ética
El primer diseño del cartel era sencillo, mientras que el segundo estaba diseñado de forma más profesional con una combinación de colores azules, que a menudo se considera más confiable. Este cartel también mencionaba un cupón de Amazon como parte de la oferta. Exhibimos los carteles durante dos semanas. Cuando alguien escaneaba el código QR, era dirigido a nuestro sitio web donde podía aprender más sobre el estudio.
Recolección de Datos y Ética
A medida que los participantes escaneaban el código QR, registramos varios detalles como cuándo se escaneó el código y si eligieron participar en la encuesta. Nos aseguramos de que el estudio siguiera directrices éticas y de que los participantes entendieran de qué trataba el estudio.
Para recopilar más información, también creamos una encuesta que preguntaba a los participantes sobre sus razones para escanear códigos QR y sus experiencias con phishing. Compartimos el enlace de la encuesta con amigos y colegas para reclutar participantes con antecedentes similares a los de los del campus.
Resultados del Estudio de Códigos QR
Tuvimos un total de 125 participantes para la encuesta. Después de filtrar a aquellos con respuestas poco confiables, terminamos con 123 participantes. La edad promedio era de alrededor de 30 años, con una mezcla de estudiantes y personas que habían completado sus estudios.
En cuanto a la preferencia por los carteles, un poco menos de la mitad de los encuestados prefirió el cartel diseñado profesionalmente, mientras que algunas personas dijeron que no escanearían ninguno. Las razones que la gente dio por sus preferencias variaron. Por ejemplo, muchos encontraron atractivo el diseño profesional y la oportunidad de ganar un cupón.
Cuando preguntamos a los participantes sobre su interacción con los códigos QR, aprendimos que la mayoría los usaba por conveniencia, como conectarse a Wi-Fi o revisar resultados de pruebas de COVID-19.
Experiencias con Phishing
También preguntamos a los participantes si conocían sobre el phishing con códigos QR antes del estudio. Aproximadamente la mitad dijo que sí, mientras que la otra mitad no. La mayoría de los encuestados informó que rara vez habían experimentado phishing, con algunos mencionando intentos de phishing a través de correo electrónico y redes sociales. Aunque muchos participantes habían oído hablar de diferentes formas de evitar caer en estafas de phishing, todavía había un número significativo que quería aprender más sobre medidas de seguridad.
Hallazgos Clave
El estudio destacó que para que una campaña de phishing usando códigos QR tenga éxito, es importante considerar factores como el diseño y el mensaje. Por ejemplo, la apariencia profesional del segundo cartel parecía atraer más interés, resultando en más escaneos. La oferta de un cupón también jugó un papel significativo.
Aunque nuestro estudio se llevó a cabo en un solo lugar, los resultados indican que incluso las personas conocedoras de la tecnología todavía están en riesgo si no tienen cuidado. Solo un pequeño porcentaje dijo que no escanearía ningún código QR.
Conclusión
Los códigos QR se han vuelto parte de la vida diaria, especialmente durante la pandemia. Aunque ofrecen conveniencia, también conllevan riesgos de seguridad. Nuestro estudio investigó el potencial de phishing con códigos QR en un campus universitario y encontró que la gente generalmente es cautelosa, pero aún así puede caer en estafas.
De cara al futuro, está claro que se necesita más conciencia y educación sobre el phishing con códigos QR. Descubrimos que los elementos de diseño y las ofertas atractivas pueden influir significativamente en el comportamiento del usuario, lo que hace crucial incluir estos factores en la capacitación de seguridad.
En futuras investigaciones, planeamos realizar estudios similares en diferentes lugares para obtener una comprensión más amplia de cómo responden las personas a los códigos QR y a intentos de phishing. Además, comparar nuestros hallazgos con métodos tradicionales de phishing, como estafas por correo electrónico, sería valioso para evaluar la conciencia y el riesgo general.
Título: Hooked: A Real-World Study on QR Code Phishing
Resumen: The usage of quick response (QR) codes was limited in the pre-era of the COVID-19 pandemic. Due to the widespread and frequent application since then, this opened up an attractive phishing opportunity for malicious actors. They trick users into scanning the codes and redirecting them to malicious websites. In order to explore whether phishing with QR codes is another successful attack vector, we conducted a real-world phishing campaign with two different QR code variants at a research campus. The first version was rather plain, whereas the second version was more professionally designed and included the possibility to win a voucher. After the study was completed, a qualitative survey on phishing and QR codes was conducted to verify the results of the phishing campaign. Both, the phishing campaign and the survey, show that a professional design receives more attention. They also illustrate that QR codes are used more frequently by curious users because of their easy functionality. Although the results confirm that technical-savvy users are more aware of the risks, they also underpin the malicious potential for non-technical-savvy users and suggest further work regarding countermeasures.
Autores: Marvin Geisler, Daniela Pöhn
Última actualización: 2024-07-23 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2407.16230
Fuente PDF: https://arxiv.org/pdf/2407.16230
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.