Llegamos a ustedes gracias a:



Reportajes y análisis

Los peligros de los códigos QR para la seguridad

[24/09/2013] Un gran número de equipos de usuario final son los dispositivos móviles y la mayor parte de ellos son teléfonos inteligentes. Las amenazas persistentes avanzadas (APT, por sus siglas en inglés) se dirigen cada vez más al mercado móvil.
"El malware móvil aumentó en más de 1.000% solo en el 2012", señala Catalin Cosoi, principal investigador en seguridad de BitDefender. BitDefender basa esta información en el análisis de las amenazas móviles que recoge a través de sus honeypots.
Los hackers utilizan códigos QR maliciosos por las mismas razones que utilizan cualquier ataque en los dispositivos móviles: el mercado de telefonía móvil está superando al de PC, creando un objetivo más grande; y, estos -en su mayoría dispositivos de usuario final (especialmente los teléfonos inteligentes)- son los menos propensos a llevar cualquier software de seguridad.
La disección de los códigos QR maliciosos
Un código QR (Quick Response) malicioso contiene un enlace a un sitio web infectado con malware.
"No importa cómo el usuario escanea o recoge el código QR, con el tiempo el dispositivo lo traduce en un enlace", señala David Maman, fundador y CTO, de GreenSQL, que también da conferencias sobre los peligros de los códigos QR maliciosos.
El enlace web, a continuación, infecta el equipo del usuario con un troyano.
"Es típicamente un troyano JavaScript. Cuando el sitio web aparece, el código JavaScript se ejecuta automáticamente, e incrusta el troyano en su sistema", comenta Dave Chronister, hacker principal de Parameter Seurity, que las empresas contratan para llevar a cabo pruebas de penetración (pen) con el fin de auditar la seguridad de la red.
Una vez que el troyano se infiltra en un dispositivo móvil, por lo general se comunica con los servidores de los hackers, quienes transmiten automáticamente cualquier tipo de otras amenazas a través de esa abertura, para filtrar los datos y causar estragos.
Las herramientas disponibles libremente automatizan la creación de códigos QR para que los hackers no tengan que desplegarlos por su propia cuenta.
"Social Engineering Toolkit (kit de herramientas de ingeniería social) tiene un generador de código QR. Puede utilizarlo para crear códigos QR maliciosos", añade Chronister. La intención de Social Engineering Toolkit es que los hackers éticos la utilicen para probar los sistemas en busca de vulnerabilidades de seguridad con la bendición de la empresa. Sin embargo, si es bueno o malo depende realmente de las manos de quien las manipule.
Vectores de Ataque/puntos de infección
Los hackers criminales podrían distribuir los códigos QR maliciosos y/o malware a través de empresas de marketing que crean códigos legítimos, a través de herramientas de código QR malicioso, y cuando la gente accede a códigos QR falsos. Los hackers pueden comprometer los sistemas pertenecientes a empresas de marketing que crean códigos QR para sus clientes empresariales. A continuación, pueden sustituir a los códigos legítimos por los maliciosos antes de que la firma los distribuya. Esto crea obligaciones obvias para la empresa que ordenó el código QR.
También hay muchas aplicaciones gratuitas para crear códigos QR ya disponibles.
"¿Qué detendría a alguien que quiere poner JavaScript a los códigos QR, que envía a la gente hacia un sitio secundario para inyectar malware en el dispositivo?", señala Chronister.
Además, si los códigos QR maliciosos infectan a los teléfonos inteligentes, y si la empresa permite que estos dispositivos se conecten a la red de la empresa, pueden convertirse en puentes para que el malware ingrese a la empresa a través de la conexión de datos del teléfono.
Nuevos vectores de ataque, enfriamiento de resultados
Los atacantes utilizan códigos QR maliciosos en los ataques de phishing. Un atacante podría crear miles de tarjetas de visita que pretenden ser del metro y que dicen 'pase libre si se une a nuestro Club QR" impreso al lado del código malicioso. Al escanear el código y entrar en el enlace, el sitio podría responder simplemente: 'Gracias por unirse al club' mientras se instala un troyano silenciosamente.
"Muchas empresas están utilizando los códigos QR, ¿cómo saber si el código QR es de una empresa de su confianza o es una falsificación?", preguntó Chronister.
En otro ataque, las APT pueden utilizar una vulnerabilidad de 'cross-site scripting' en un sitio web legítimo para abrir un agujero con el fin de insertar un código QR malicioso en lugar de un código legítimo.
"Cuando un navegador se detiene en un sitio legítimo, el código QR que hace referencia al sitio del hacker es ahora parte del sitio de una forma benigna y el navegador los unirá", señala Chronister.
Los códigos QR maliciosos también pueden permitir a un atacante controlar los teléfonos celulares para acceder a los mensajes y GPS, encender la cámara y escuchar las conversaciones telefónicas.
"Incluso el software botnet está apareciendo en los teléfonos, lo que permite que las APT los recluten en una botnet para atacar otros sistemas, señala Chronister. El atacante puede utilizar el teléfono como parte de una botnet de SMS o una botnet de Internet para atacar a un sinnúmero de objetivos.
¿Qué deberían hacer ahora los CSO?
La mejor manera de evitar los códigos QR maliciosos y proteger a la empresa es simplemente no utilizarlos.
"Los códigos no son realmente lo suficientemente valiosos para que las empresas corran el riesgo. Si tiene que utilizarlos, asegúrese de que se configuren de una manera que le permita a la empresa validarlos continuamente como legítimos", señala Chronister.
Instruya a los empleados para que no utilicen los códigos QR en teléfonos que también se unen a la red de la empresa.
"Si la empresa utiliza BYOD, instruya a los empleados sobre los riesgos de los códigos QR", aconsejó Chronister.
Las empresas ya deben estar segregando la red inalámbrica para huéspedes del resto de la infraestructura, así como separar las redes internas con los datos básicos de otras redes internas. Desafortunadamente, esto a menudo no es el caso.
"Cuando hacemos pruebas de intrusión, encontramos que aunque la empresa cuenta con una red de invitados, los teléfonos inteligentes están conectados a la red corporativa", señala Chronister.
Asegúrese de que los teléfonos inteligentes tengan antivirus y otro software anti-malware instalados y actualizados.
"En el transcurso de nuestras pruebas, vamos a ver que la política de la red dice que es de suponer que cada sistema que se conecte a la red corporativa debe tener instalado software anti-virus. Entonces voy a preguntar para ver el iPhone de alguien. No tiene software anti-virus instalado, pero es un sistema que está en la red de la empresa", agrega Chronister.
Soluciones a largo plazo
En última instancia, las empresas tendrán que seguir perfeccionando las políticas y normas de grano fino que examinan los registros de los archivos en la profundidad de los eventos de red.
"Esto ayuda a determinar si, por ejemplo, un teléfono autorizado que está conectado a un sistema interno, pertenece a alguien que está ausente por enfermedad ese día", señala Maman. Luego la red puede cortar automáticamente la conexión y TI puede investigar más a fondo.
Sin embargo, incluso este tipo de políticas no pueden detectar todo.
"Puede que no haya suficiente evidencia o detalles a detectar", finaliza Maman.
David Geer, CSO (EE.UU.)