Seguridad

Advierten de estafas a través de códigos QR

Los códigos QR tienen la intención de ayudar a dirigir a los usuarios rápida y fácilmente a información acerca de productos y servicios pero también se están comenzando a usar para explotaciones de ingeniería social. Check Point observa el surgimiento de las estafas al escanear los QR y la creciente preocupación por los usuarios actuales 

Por: Tomer Teller, evangelista de seguridad e investigador de Check Point Software Technologies

No tiene que mirar lejos para detectar un código QR. Desde su origen humilde de etiquetar y rastrear partes utilizadas en la fabricación de automóviles estos pequeños códigos de barras cuadrados con esteroides se colocan en todas partes desde los empaques de los productos, afiches y vallas publicitarias hasta revistas y periódicos.

Los códigos QR son un punto de salto del mundo real al mundo en línea. Simplemente al escanear el código con su teléfono inteligente la gente puede accesar rápidamente el contenido digital incluido en el código – haciéndolo el sueño de todo vendedor porque facilita dirigir a los usuarios hacia la información y los servicios. Es más estos aún retienen un factor chévere y de curiosidad con los usuarios que disfrutan la conveniencia que ofrecen de apuntar y navegar.

Sin embargo esto también los hace útiles para los hackers como herramienta de ingeniería social para explotar los intereses y la confianza de los usuarios y dirigirlos a sitios web maliciosos o malware. Mientras que el concepto de ‘descargas drive-by’ ya está bien establecido como una táctica furtiva para hurtar datos del usuario al navegar en la web los códigos QR ofrecen un método nuevo para manipular a los usuarios móviles de forma similar.

Un asunto de confianza

El problema de los códigos QR es que fuerza a los usuarios a confiar en la integridad del proveedor del código y a asumir que el destino al cual lleva es legítimo. Esto es casi imposible de calcular porque el código QR encierra el sitio y el contenido al que lleva. Mientras que las explotaciones de ingeniería social han evolucionado desde los gusanos de correo electrónico de principios de 2000 aún se apoyan en la curiosidad humana para ver qué puede ocurrir cuando los usuarios abren un archivo anexo o cuando escanean un código QR puede llevar a menudo a predicamentos de seguridad.

Es más las aplicaciones de escaneo de códigos QR que corren en los smartphones pueden proporcionar un enlace directo a otras capacidades del celular como email, SMS, servicios basados en la ubicación e instalaciones de aplicaciones – extendiendo más los riesgos potenciales a los dispositivos móviles. Analicemos cómo una explotación potencial basada en código QR se puede crear y luego cómo defenderse contra ésta.

Código leído

El primer paso para crear una explotación QR es distribuir el código y ponerlo frente a víctimas potenciales. Esto podría ocurrir al incorporar el código QR en un email – haciendo una explotación de phishing elaborada – o mediante la distribución posible de documentos de aspecto físico con código QR por ejemplo volantes en un evento o incluso calcomanías aplicadas en vallas publicitarias genuinas.

Una vez que se distribuye el código QR el atacante tiene una variedad de opciones de estafa de donde elegir. A un nivel básico el código podría simplemente redireccionar a los usuarios a sitios web falsos con objetivos de phishing – como un almacén en línea falso o un sitio de pagos.

Las explotaciones más sofisticadas incluyen a los hackers que utilizan códigos QR para direccionar a los usuarios a sitios web que ‘secuestrarán’ su dispositivo móvil – es decir permite el acceso de raíz al sistema operativo del aparato e instala malware. Esto es esencialmente un ataque de descarga drive-by en el dispositivo que habilita software o aplicaciones adicionales como registradores de claves y rastreadores GPS para que se instalen sin el conocimiento o el permiso del usuario.

La billetera móvil como blanco

Tal vez el mayor riesgo potencial para los usuarios es el uso creciente de la banca móvil y de los pagos mediante los smartphones. Con la capacidad de los códigos QR de bloquear dispositivos y de aprovechar las aplicaciones, esto le podría dar a los hackers acceso virtual a las billeteras móviles de los usuarios especialmente ahora que las soluciones de pagos basadas en QR ya existen y se utilizan. Aunque la captación actualmente es chiquita crecerá a medida que la aceptación pública de los códigos QR incrementa.

Entonces ¿Qué pueden hacer las organizaciones y usuarios individuales para mitigar los riesgos de los códigos QR? La precaución más importante es poder establecer exactamente qué vínculo o recurso abrirá el código QR cuando se escanee. Algunas aplicaciones QR (No todas) dan esta visibilidad y – críticamente – piden al usuario que confirme si desea actuar. Esto le da la oportunidad a los usuarios de evaluar la validez del enlace antes que el código sea activado.

Considere implementar la codificación de datos en los teléfonos inteligentes corporativos en caso de que si un código QR malicioso consigue instalar un troyano en el dispositivo los datos confidenciales quedan aún protegidos y no son accesibles o usables inmediatamente por parte de los hackers.

En conclusión los riesgos presentados por los códigos QR realmente dan un giro nuevo a los trucos y explotaciones de hackeo bien establecidos. Lo básico en seguridad aún aplica – tenga cuidado con lo que escanea y utilice codificación de datos cuando sea posible. O simplemente: Piénselo bien antes de usar los códigos QR.

Con información de www.checkpoint.com