“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Código QR: Todo lo que necesitas saber
.png)
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
La tecnología está en constante evolución. Algunas veces se toman ideas antiguas y se elevan a un nivel que nos ofrece nuevas posibilidades. Este es el caso de los códigos QR, la evolución de los códigos de barra. Estos códigos han expandido la frontera de lo que era capaz un código de barras tradicional. Los ha hecho más rápidos, más accesibles y más versátiles.
Esta tecnología se ha abierto paso en una gran variedad de aplicaciones. Desde obtener el correo de una empresa, ofrecer tarjetas de presentación, hacer pagos electrónicos hasta descargar aplicaciones en la app store. Los códigos QR fueron creados hace ya casi 30 años, pero el aumento exponencial en su uso se ha evidenciado en los últimos años.
Como cualquier innovación, esta nos trae más posibilidades en distintos ámbitos para la sociedad. Pero también es cierto que deben ser utilizados de manera responsable, ya que existen versiones maliciosas de estos códigos que podrían darnos problemas. Sigue leyendo y aprende un poco más sobre los códigos QR, cuáles son sus tipos y cómo protegerte de aquellos códigos potencialmente dañinos.
¿Qué es un código QR?
El código QR es un patrón gráfico cuadrado que permite almacenar y distribuir diferentes tipos de información digital. Es un código de barras bidimensional. Su nombre proviene del inglés Quick Response code (QR code) que significa código de respuesta rápida.
Este representa la evolución de los códigos de barra tradicionales, ya que son más rápidos para ser leídos y ejecutados, son capaces de almacenar más información y en general tienen una mayor versatilidad.
El patrón de estos códigos consiste en una serie de cuadrados en blanco y negro dispuestos en una cuadrícula. Este patrón puede variar de tamaño, pudiendo tener desde 21 filas y 21 columnas en su forma más pequeña, hasta 177 filas y 177 columnas en su forma más grande.
Esta etiqueta bidimensional ha sido adoptada mundialmente y, por lo tanto, ha pasado por varios procesos de estandarización a través de la ISO (International Organization for Standardization) y la IEC (International Electrotechnical Commision). En febrero de 2015 obtuvo la última actualización de su estandarización conocida como la ISO/IEC 18004:2015.
Estructura de los códigos QR
Como mencionamos anteriormente, los códigos QR están estandarizados y, por lo tanto, deben seguir ciertas estructuras para que puedan ser utilizados de manera efectiva. Cada código debe tener los siguientes 6 elementos básicos:
1. Zona tranquila
Se refiere al borde blanco que se encuentra alrededor del código. Esta zona es la que permite que un lector de código o cámara identifique correctamente el delineamiento completo del código.
2. Patrón de búsqueda
Cada etiqueta posee tres cuadrados grandes, dos en las esquinas superiores y uno en la esquina inferior izquierda. Esto le indica a la cámara que efectivamente el patrón representa un código QR.
3. Patrón de alineación
Los códigos poseen también un cuadrado un poco más pequeño que los anteriores, cercano a la esquina inferior derecha. Este cuadrado indica la alineación del patrón y permite hacer lectura del código, aunque este esté inclinado respecto al lector de QR.
4. Patrón de sincronización
Es una línea en forma de L que conecta los tres cuadrados del patrón de búsqueda. Este patrón le indica al lector QR el tamaño de los símbolos. Esto es importante, ya que existen códigos QR de distinto tamaño.
5. Información de la versión
A la izquierda del patrón de búsqueda de la esquina superior derecha se encuentra la información de la versión. La versión se refiere al tipo de codificación que tiene la etiqueta. Las versiones pueden ser numéricas, de caracteres alfanuméricos, bytes o kanji (símbolos japoneses).
6. Celda de datos
El resto del patrón del código contiene la información real que almacena dicha etiqueta. Además, contiene un código de corrección de errores que ayuda a que el código pueda ser leído aunque se encuentre parcialmente dañado.
Un poco de historia
En el año 1994 la empresa Denso Wave, una subsidiaria de Toyota, se encargaba de producir instrumentos para la identificación automática de artículos. Esta subsidiaria fue la que creó el primer código QR con la intención de facilitar el inventario y el seguimiento de las piezas que se fabricaban. El diseño original fue influenciado por las piezas blancas y negras de un tablero de Go (juego de tablero tradicional en Asia).
Luego de crear esta innovación, Denso Wave puso a la disposición pública este código, declarando que no ejercerían derechos de patente. Esto ayudó mucho en su adopción progresiva en las distintas empresas alrededor del mundo.
En el año 2000 se aprobó por primera vez el estándar internacional ISO para los códigos QR. Luego, en el año 2002 comenzaron a salir en Japón los primeros teléfonos móviles que incluían lectores para esta matriz de puntos. Ya para el año 2012 esta nueva tecnología se estaba utilizando por todo el mundo.
¿Para qué sirven los códigos QR?
Los códigos QR pueden almacenar todo tipo de información y se pueden utilizar con múltiples propósitos, como por ejemplo:
- Obtener información de contacto (vcard), que puede incluir número de teléfono, dirección postal, correo electrónico, entre otros.
- Acceder al URL de un sitio web.
- Adquirir información sobre productos para un inventario.
- Autenticar cuentas en línea y verificar los datos de acceso.
- Enviar y recibir pagos electrónicos.
- Obtener una localización geográfica en Google Maps.
- Conectarse a una red WiFi.
- Descargar aplicaciones en los dispositivos móviles, ya sea Android o iOS.
- Hacer campañas de marketing en las redes sociales.
Versiones y tipos de códigos QR
Existen diversas versiones y tipos de códigos QR. Cada uno contiene ventajas para la aplicación en particular que se necesita.
Versiones de códigos QR
Hay dos versiones principales: los estáticos y los dinámicos. Cada uno tiene un funcionamiento distinto, el cual te explicamos a continuación.
Códigos QR estáticos
Como su nombre lo indica, un código QR estático es aquel que permanece igual en el tiempo. La información que posee la etiqueta no cambia una vez que se ha establecido el código.
Es ideal para usos simples, como por ejemplo el correo electrónico personal de un individuo o empresa, el número de serie de los productos de una fábrica, la dirección URL de la página principal de una compañía, entre otros.
Códigos QR dinámicos
A diferencia de los códigos descritos anteriormente, los códigos dinámicos son más versátiles por el hecho de que la información que transmiten puede variar en el tiempo. Esto hace que tengan un mayor rango de aplicación.
Los códigos dinámicos pueden ser editados múltiples veces luego de su creación. Esto es posible, ya que estas etiquetas tienen una URL corta incrustada en el código. La dirección de destino a la que envía este enlace corto puede ser modificada y, por lo tanto, la información a la que se puede acceder, cambia.
Es fácil ver que estos códigos tienen una mayor utilidad que su contraparte estática. Estos códigos dinámicos pueden ser utilizados, por ejemplo, para el menú de un restaurante que puede incluir el plato del día. También sirven para cupones o promociones de una empresa que pueden variar de acuerdo a la ocasión, entre otros.
Tipos de código QR
Con el pasar del tiempo se han ido creando distintos tipos de códigos QR. A continuación, te presentamos los tipos principales que existen de estos códigos.
Códigos QR Modelo 1 y 2
Estos son los códigos QR más comunes que podemos encontrar. El modelo 1 es la versión original. El modelo 2 se diferencia en que puede almacenar mayor información y puede ser leído aunque el código esté distorsionado de alguna manera.
El modelo 1 puede almacenar como máximo un número de 1667 cifras, mientras que el modelo 2 puede almacenar un número de 7089 cifras.
Micro QR
Como su nombre lo indica, estos son una versión más pequeña de los códigos tradicionales. Tienen un solo patrón de búsqueda en vez de los tres usuales. Pueden almacenar como máximo un número de 35 cifras.
iQR
Este tipo de código puede ser cuadrado o rectangular y puede almacenar mayor información en menos espacio. A estos códigos aún no se les ha dado una especificación mediante la ISO/IEC.
SQRC
Su nombre proviene de Secure Quick Response Code o código seguro de respuesta rápida. Estos códigos contienen una parte de la información de manera privada que solo puede ser leída por un usuario que tenga la clave criptográfica adecuada.
FrameQR
Permiten tener alguna imagen o logotipo personalizado dentro del código, usualmente en el centro, lo cual le da flexibilidad y versatilidad en comparación a los otros códigos.
HCC2D
Su nombre proviene de High Capacity Colored 2-Dimensional Code o código bidimensional colorido de alta capacidad. Utilizan colores en la etiqueta para aumentar la densidad de datos que puede guardar el código.
Es importante destacar que se ha mencionado la cantidad de información que se puede almacenar en función de las cifras de un número, pero recordemos que los códigos QR pueden almacenar números, patrones alfanuméricos, bytes o símbolos kanji, como se mencionó previamente.
Ventajas de los códigos QR
El uso de códigos QR se ha extendido a múltiples áreas y servicios por las ventajas que pueden ofrecer:
- Son versátiles: pueden almacenar diversos tipos de información digital.
- Funcionan de manera rápida: a diferencia de los códigos de barra tradicionales, los códigos QR son de muy alta velocidad.
- Son accesibles: pueden ser leídos por las cámaras de los teléfonos inteligentes.
- Son resistentes: gracias a la corrección de errores, pueden ser leídos aunque estén parcialmente dañados o se encuentren poco legibles.
- Son económicos: debido a su patrón sencillo y de tamaño relativamente pequeño se pueden imprimir y distribuir con facilidad.
- Pueden ser encriptados: algunos pueden tener parte de su información encriptada para que sólo puedan ser leídos por ciertos individuos.
Riesgos del uso de códigos QR
Los códigos QR no tienen una naturaleza inherentemente maliciosa. Sin embargo, debido a que pueden almacenar casi cualquier tipo de información, pueden tener vulnerabilidades de seguridad y ser utilizados para esparcir malware o llevar a los usuarios a enlaces peligrosos.
Los principales riesgos que se asocian al uso de códigos QR son:
Phishing o qrishing
El phishing consiste en el acto malicioso de hacerse pasar por una página confiable, cuando en realidad no lo es. Hablamos de qrishing cuando esta actividad se realiza mediante un código QR.
Al escanear un código podríamos llegar a una dirección web que pareciese ser de una fuente oficial y confiable, pero no lo es. El sitio nos podría pedir algunos datos como el nombre de usuario y contraseña, y esta información podría entonces caer en las manos equivocadas.
Malware
El malware es un código malicioso que los ciberdelincuentes pueden utilizar de distintas maneras para hacer daño al usuario obteniendo información confidencial, datos personales, entre otros. Esto puede llegar a suceder al utilizar un enlace QR.
Podemos escanear un código y llegar a un enlace web que descargue un malware en nuestro dispositivo electrónico. Esto les podría dar acceso a los atacantes a toda nuestra información de valor.
Secuestro de sesión o QRLJacking
El QRLJacking o Quick Response Login Jacking es un tipo de ataque que consiste en secuestrar los datos de acceso en alguna plataforma. Son utilizados en aquellas aplicaciones que utilizan los códigos QR como posible método para el inicio de sesión.
El atacante engaña al usuario para que este lea un código con la aplicación y luego este toma el control de la sesión en la aplicación de manera remota. Este tipo de ataque se ha popularizado particularmente con los usuarios de WhatsApp.
4 estrategias para protegerte de un código QR malicioso
A continuación, te dejamos algunas estrategias para protegerte de los QR maliciosos y así evitar posibles problemas.
Evalúa la necesidad de utilizarlo
Cada día los códigos QR se integran más en la sociedad. Usualmente tenemos la curiosidad de utilizar esta tecnología cada vez que podemos, pero debemos preguntarnos si realmente es necesario utilizarlo en determinada ocasión.
Primero debemos preguntarnos si el código tiene una procedencia confiable. Luego, debemos evaluar si es realmente necesario utilizarlo o si existe alguna otra manera de obtener la misma información que necesitamos.
Presta atención los detalles
Antes de escanear un código debemos prestar atención a la etiqueta que lo contiene. A veces, los ciberdelincuentes colocan un código QR malicioso encima de la etiqueta original.
Debemos entonces chequear si estamos escaneando una sola etiqueta o si parece haber una doble etiqueta. También es bueno revisar detalladamente el código antes de escanearlo para verificar si este ha sido alterado de alguna manera.
Conoce la empresa que lo usa
Naturalmente, es preferible escanear códigos de empresas que conocemos y le tenemos confianza, en particular aquellas compañías que poseen un buen CISO. Es recomendable leer los códigos de estas empresas dentro de sus propios establecimientos.
El hecho de que encontremos un código QR con el logotipo de una empresa en la calle no quiere decir necesariamente que esa etiqueta la haya montado dicha empresa. Podría ser una trampa de un atacante para generar confianza en la posible víctima.
No des información confidencial
Los códigos QR son utilizados generalmente para dar información al usuario, no para obtener información de él. En algunos casos puede que sí sea necesario dar cierta información en algún enlace al cual accedemos mediante una lectura de un código, pero esto no es la norma.
Evitar dar información personal y confidencial al entrar a un enlace, ya que es importante proteger nuestros datos. Solo es recomendable hacerlo si es estrictamente necesario y se han tomado en cuenta las recomendaciones anteriores.
Evita descargar archivos e ingresar a enlaces sospechosos
Como mencionamos anteriormente, el uso general de los códigos QR es dar información al usuario, por lo tanto, no es recomendable descargar archivos a través de estos enlaces, ya que estos podrían tener algún programa malicioso.
De la misma manera, verifica el enlace al cual vas a acceder antes de entrar. Observa si la dirección es de alguna página confiable que conozcas y verifica que la dirección de la página sea correcta. A veces, los atacantes crean páginas falsas que tienen una dirección casi igual a la página original.
Conclusiones
La evolución de los códigos de barra a los QR ha hecho que sean más accesibles para todo el mundo y le ha dado una versatilidad que antes no se tenía pensada.
Estos pueden ser muy útiles, ya que tiene diversas aplicaciones en diversas áreas. Sin embargo, como toda tecnología, también pueden llegar a representar un peligro si no son utilizados de manera adecuada.
Por eso, en Delta Protect te ofrecemos los servicios más completos para simplificar la ciberseguridad y cumplimiento de tu empresa. Si necesitas consejos y apoyo para abrir códigos QR más seguros para tu empresa, agenda una demo de Apolo con nuestros expertos.
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
