El pasado jueves 1 de julio entraba en vigor el pasaporte Covid, un certificado digital para viajar por Europa que acredita tu inmunidad y permite moverse libremente entre países europeos. Una gran noticia para el sector turístico sin duda y, prueba de ello, es que más de 3,2 millones de españoles ya han obtenido el suyo. De estos datos se traduce la lectura positiva de que el turismo y la economía están empezando poco a poco a recuperarse, pero ¿es seguro el pasaporte COVID? Como cualquier tema de actualidad, éste no iba a pasar desapercibido para el cibercrimen. En el pasaporte COVID la ciberdelincuencia ha encontrado una nueva oportunidad de negocio y lo ha situado en su punto de mira.
Por desgracia, se da el escenario perfecto para la aparición de nuevos ataques:
- Usuarios no están del todo informados acerca del pasaporte Covid.
- Desconocimiento del aspecto que tendrá el pasaporte y de qué información habrá que compartir para obtener un pasaporte.
- No se sabe cómo se emitirá.
Desde BOTECH vamos a tratar de aportar una serie de tips para evitar los ciberataques relacionados con el pasaporte COVID.
¿Cómo funciona el pasaporte COVID?
El pasaporte COVID funciona mediante un código QR que las autoridades de cualquier país miembro de la Unión Europea podrán solicitarte para comprobar si cumples con alguno de los requisitos sanitarios necesarios para poder viajar por Europa.
La cuestión es que los códigos QR –Quick Response– son una herramienta muy fácil de generar y, en consecuencia, muy fácil de intervenir y de manipular. El pasaporte digital puede ser utilizado como gancho por los ciberdelincuentes para, por ejemplo, aparentar ser el estamento oficial e intentar que el usuario escanee otro código QR, que le redirija a una página en la que tenga que dar información personal y sensible que realmente no sería necesaria si fuera el trámite oficial.
En definitiva, este trámite, su novedad y la falta de información entre la población en general, puede ser el escenario perfecto para convertirnos en “carne de cañón” del cibercrimen permitiendo a delincuentes informáticos robar nuestros datos personales y bancarios. Una vez que escaneemos el código QR falso se pueden dar 3 tipos de ciberataque:
Malware. Los delincuentes pueden inyectar malware en nuestro teléfono con tan solo escanear un código QR que conduce a un sitio web infectado. Solo visitar el sitio web infectado puede desencadenar una descarga maliciosa. Este tipo de malware nos puede llegar, por ejemplo, a través de un correo electrónico aparentemente legítimo.
Phishing. El atacante te lleva a un sitio de phishing para robar tus credenciales u obtener acceso a tu información privada en tu dispositivo móvil. Los phishing cada vez son más sofisticados y difíciles de detectar ya que, en muchas ocasiones, utilizan una URL de aspecto similar a un sitio web de confianza. Una vez que el usuario visita el sitio de phishing y el atacante accede a los datos de inicio de sesión…, estamos perdidos: ya tiene acceso a las cuentas, puede realizar cambios, ver información privada, etc.
Código QR malicioso. Los ciberdelincuentes pueden imprimir herramientas de codificación gratuitas en Internet para crear códigos QR. Tan solo deben imprimir el código QR en una pegatina y superponerlo sobre un código QR legítimo o simplemente enviar el código QR malicioso a través de un email.
Los códigos QR generan gran curiosidad y son muchos los que deciden escanearlos tan solo para ver a dónde redirigen poniendo en peligro sus datos o los de su compañía si hablamos de un terminal corporativo.
¿Cómo puedo evitar que me engañen?
España fue el país de la Unión Europea con más ataques cibernéticos en 2020. Este dato impresiona y su lectura es clara: los españoles necesitan más información y formación para evitar caer en estafas digitales.
Hay que tener muy presente que aparentemente ni un banco, ni una institución pública, etc. va a pedir información confidencial a una persona a través un mensaje o un email. Por esto el ciudadano de a pie debe ser consciente y sospechar ante estas peticiones. Una forma fácil de comprobar que se trata de una estafa es observar el email o nombre del emisor porque, aunque copian la imagen corporativa para que dudes, el email o el dominio web no es la oficial. Otro tip a tener la cuenta es el lenguaje. Normalmente estos piratas informáticos suelen ser internacionales, por lo que, en ocasiones, el mensaje en castellano suele estar repleto de errores gramaticales producto de una mala traducción al castellano.
Asimismo, también hay que tener muy presente y ser muy cautos a la hora de descargarnos una app. Lo ideal es que siempre se haga desde los markets oficiales como Google Play o Apple Store. Si una aplicación redirige a un sitio desconocido o pide información extraña que poco tiene que ver con el propósito de la misma, puede ser una señal de alerta.
En definitiva, aunque el pasaporte COVID nace como una herramienta de ayuda, sobre todo para la vuelta a la normalidad del sector turístico, hay que estar siempre alerta para evitar los ciberataques. Intentemos estar siempre alerta y mirar las peticiones o notificaciones de terceros con ojo analítico. Porque, ¿de qué sirve tener un pasaporte Covid si un ciberataque te deja la cuenta vacía y sin dinero para viajar?
Fernando Carrazón es COO de BOTECH.