Ícono del sitio TechGames

Riesgos y seguridad de los códigos QR

QR-ataques
Comparte


La empresa Check Point nos comparte un texto sobre la seguridad y riesgos que se tienen con los códigos QR, los cuales gozan de gran popularidad debido a lo fácil que es acceder a servicios de Internet.

Por desgracia se están comenzando a usar para explotaciones de ingeniería social. Check Point observa el surgimiento de las estafas al escanear los QR y la creciente preocupación por los usuarios actuales

No tiene que mirar lejos para detectar un código QR. Desde su origen, de etiquetar y rastrear partes utilizadas en la fabricación de automóviles, estos pequeños códigos de barras cuadrados actualmente se colocan en todas partes desde los empaques de los productos, afiches y vallas publicitarias, hasta revistas y periódicos.  

Los códigos QR son un punto de salto al mundo en línea. Simplemente al escanear el código con su teléfono inteligente la gente puede acceder rápidamente el contenido digital almacenado en el código – haciéndolo el sueño de todo vendedor porque facilita dirigir a los usuarios hacia la información y los servicios. Es más, estos son un factor llamativo y de curiosidad para los usuarios que disfrutan la conveniencia de apuntar y navegar.

Sin embargo esto también los hace útiles para los hackers como herramienta de ingeniería social para explotar los intereses y la confianza de los usuarios y dirigirlos a sitios web maliciosos o malware. Mientras que el concepto de ‘descargas drive-by’ ya está bien establecido como una táctica furtiva para hurtar datos del usuario al navegar en la web los códigos QR ofrecen un método nuevo para manipular a los usuarios móviles de forma similar.

Un asunto de confianza

El problema de los códigos QR es que fuerza a los usuarios a confiar en la integridad del proveedor del código y a asumir que el destino al cual lleva es legítimo. Esto es casi imposible de calcular porque el código QR encierra el sitio y el contenido al que lleva. Mientras que las explotaciones de ingeniería social han evolucionado, desde los gusanos de correo electrónico, aún se apoyan en la curiosidad humana para ver qué puede ocurrir cuando los usuarios abren un archivo anexo o cuando escanean un código QR puede llevarlos a menudo a predicamentos de seguridad.

Es más las aplicaciones de escaneo de códigos QR que corren en los smartphones pueden proporcionar un enlace directo a otras capacidades del celular como email, SMS, servicios basados en la ubicación e instalaciones de aplicaciones – extendiendo más los riesgos potenciales a los dispositivos móviles. Analicemos cómo una explotación potencial basada en código QR se puede crear y luego cómo defenderse contra ésta.

Código leído

El primer paso para crear una explotación QR es distribuir el código, ponerlo frente a víctimas potenciales. Esto podría ocurrir al incorporar el código QR en un email – haciendo una explotación de phishing elaborada – o mediante la distribución posible de documentos de aspecto físico con código QR por ejemplo volantes en un evento o incluso calcomanías aplicadas en vallas publicitarias genuinas.

Una vez que se distribuye el código QR el atacante tiene una variedad de opciones de estafa de donde elegir. A un nivel básico el código podría simplemente redireccionar a los usuarios a sitios web falsos con objetivos de phishing – como un almacén en línea simulado o un sitio de pagos.

Las explotaciones más sofisticadas incluyen a los hackers que utilizan códigos QR para direccionar a los usuarios a sitios web que ‘secuestrarán’ su dispositivo móvil – es decir permite el acceso de raíz al sistema operativo del aparato e instala malware. Esto es esencialmente un ataque de descarga drive-by en el dispositivo que habilita software o aplicaciones adicionales como registradores de claves y rastreadores GPS para que se instalen sin el conocimiento o el permiso del usuario.

La billetera móvil como blanco

Tal vez el mayor riesgo potencial para los usuarios es el uso creciente de la banca móvil y de los pagos mediante los smartphones. Con la capacidad de los códigos QR de bloquear dispositivos y de aprovechar las aplicaciones, esto le podría dar a los hackers acceso virtual a las billeteras móviles de los usuarios especialmente ahora que las soluciones de pagos basadas en QR ya existen y se utilizan. Aunque la captación actualmente es chiquita crecerá a medida que la aceptación pública de los códigos QR incremente.

Entonces ¿Qué pueden hacer las organizaciones y usuarios individuales para mitigar los riesgos de los códigos QR? La precaución más importante es poder establecer exactamente qué vínculo o recurso abrirá el código QR cuando se escanee. Algunas aplicaciones QR (no todas) dan esta visibilidad y – críticamente – piden al usuario que confirme si desea actuar. Esto le da la oportunidad a los usuarios evaluar la validez del enlace antes que el código sea activado.

Considere implementar la codificación de datos en los teléfonos inteligentes corporativos así en caso de que si un código QR malicioso consiguiera instalar un troyano en el dispositivo los datos confidenciales quedarían aún protegidos y no serían accesibles o usables inmediatamente por parte de los hackers.

En conclusión los riesgos presentados por los códigos QR realmente dan un giro nuevo a los trucos y explotaciones de hackeo bien establecidos. Lo básico en seguridad aún aplica – tenga cuidado con lo que escanea y utilice codificación de datos cuando sea posible. O simplemente: Piénselo bien antes de usar los códigos QR.

Por: Enrique Navarrete, gerente general Check Point México

Comparte
Salir de la versión móvil