[19/09/2023] Entre los muchos impactos tecnológicos de la pandemia de coronavirus se encuentra el aumento en el uso de códigos QR (Quick-Respons). Naturalmente, los ciberdelincuentes están aprovechando esta oportunidad -y las vulnerabilidades de esta tecnología móvil- para lanzar ataques. Los equipos de seguridad deben estar al tanto de esta amenaza. El informe QRurb Your Enthusiasm 2021 del proveedor de seguridad y gestión de terminales, Ivanti, muestra que el uso y los casos de uso de códigos QR a nivel global han aumentado. Esto se debe en gran parte a que los códigos hacen la vida más fácil en un mundo en el que las transacciones sin contacto se han vuelto deseadas o requeridas.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Sin embargo, las organizaciones se quedan atrás en materia de seguridad contra las amenazas habilitadas por códigos QR. Por ejemplo, el 83% de los encuestados afirmó que habían utilizado un código QR para una transacción financiera en los últimos tres meses, pero la mayoría desconocía los riesgos. Sólo el 47% sabía que escanear un código QR podía abrir una URL y el 37% sabía que podía descargar una aplicación. Los consumidores han escaneado códigos en tiendas minoristas, restaurantes, bares y otros establecimientos, y muchos quieren que los códigos QR se utilicen de manera más amplia como método de pago en el futuro. Al mismo tiempo, señala el informe, cada vez más personas utilizan sus propios dispositivos inseguros para conectarse con otras personas, interactuar con una variedad de aplicaciones y servicios basados en la nube, y mantenerse productivos mientras trabajan de forma remota. El reporte señaló que también están usando sus dispositivos móviles para escanear códigos QR destinados a tareas cotidianas, poniéndose en riesgo a ellos mismos y a los recursos empresariales.
Explotar el QR es sencillo y eficaz
Los atacantes están aprovechando las brechas de seguridad durante la pandemia, según el informe, y atacan cada vez más los dispositivos móviles con ataques sofisticados. Los usuarios a menudo se distraen cuando usan sus dispositivos móviles, lo que los hace más propensos a ser víctimas de ataques. Según el informe, los atacantes pueden incrustar fácilmente una URL maliciosa que contenga malware personalizado en un código QR, que luego podría filtrar datos de un dispositivo móvil cuando se escanea. También podrían incrustar una URL maliciosa en un código QR que dirija a un sitio de phishing y aliente a los usuarios a divulgar sus credenciales.
"Por su propia naturaleza, los códigos QR no son legibles por humanos. Por lo tanto, la capacidad de alterar un código QR para que apunte a un recurso alternativo sin ser detectado es simple y muy efectiva”, afirma Alex Mosher, vicepresidente global de MobileIron. Casi tres cuartas partes de los encuestados en el estudio no pueden distinguir entre un código QR legítimo y uno malicioso. Según el informe, si bien la mayoría es consciente de que los códigos QR pueden abrir una URL, son menos conscientes de las otras acciones que los códigos QR pueden iniciar.
Los ataques a dispositivos móviles amenazan tanto a individuos como a empresas, afirma Mosher. "Un ataque exitoso al dispositivo móvil personal de un empleado podría resultar en que la información personal de ese individuo se vea comprometida, que se agoten los recursos financieros o se filtren datos corporativos confidenciales”, añade Mosher.
Cómo los atacantes explotan los códigos QR
Lo que puede hacer que las amenazas a la seguridad de los códigos QR sean especialmente problemáticas es el elemento sorpresa entre los usuarios desprevenidos. "No tengo conocimiento de ningún ataque directo a códigos QR, pero ha habido muchos ejemplos de atacantes que utilizan sus propios códigos QR en el curso de los ataques”, afirma Chris Sherman, analista senior de la industria en Forrester Research. La razón es que los códigos QR pueden iniciar varias acciones en el dispositivo del usuario, como abrir una página web, agregar un contacto o redactar un correo electrónico, pero el usuario a menudo no tiene idea de lo que sucederá cuando escanee el código”, agrega Sherman. "Normalmente, uno puede ver la URL antes de hacer clic en ella, pero no siempre es así con los códigos QR”.
Un ataque común implica colocar un código QR malicioso en público, a veces encubriendo un código QR legítimo, y cuando los usuarios desprevenidos escanean el código, son enviados a una página web maliciosa que podría albergar un kit de explotación, señala Sherman. Esto puede llevar a un mayor compromiso del dispositivo o posiblemente a una página de inicio de sesión falsificada para robar las credenciales del usuario. "Esta forma de phishing es la forma más común de explotación de QR”, anota Sherman. La explotación de los códigos QR que conduce al robo de credenciales, el compromiso de dispositivos o el robo de datos, y la vigilancia maliciosa son las principales preocupaciones tanto para las empresas como para los consumidores, agrega Sherman.
Si los códigos QR conducen a sitios de pago, los usuarios podrían divulgar sus contraseñas y otra información personal que podría caer en manos equivocadas. "Muchas páginas web realizan descargas automáticas, por lo que la mera presencia en el sitio puede iniciar la descarga de software malicioso”, sostiene Rahul Telang, profesor de sistemas de información en la Heinz College de la Universidad Carnegie Mellon. "Los dispositivos móviles en general tienden a ser menos seguros que las laptops o las computadoras. Dado que los códigos QR se utilizan en dispositivos móviles, la posibilidad de vulnerabilidad también es mayor”. Debido a que muchos de estos dispositivos móviles se utilizan en el contexto de la TI empresarial, la infiltración de los dispositivos puede convertirse en un punto débil de seguridad para las organizaciones, afirma Telang.
Recientemente, el director ejecutivo de una empresa de tecnología británica le advirtió al gobierno del Reino Unido sobre posibles fallas graves en la seguridad de la información y los datos personales utilizados en una nueva aplicación de rastreo de contactos que se basa en la tecnología de escaneo de códigos QR. La tecnología puede estar sujeta a un proceso llamado "atagging” o clonación, según Louis James Davis, director ejecutivo de VST Enterprises. Con el atagging, un código QR genuino se reemplaza por un código QR clonado que redirige a los usuarios a una página web similar donde los datos personales pueden ser interceptados e infiltrados.
Cómo los códigos QR permiten el qishing
Qishing es el término para los intentos de phishing que utilizan códigos QR. A los atacantes les gustan los códigos QR porque pueden dirigir a las víctimas desprevenidas a una página web maliciosa o engañarlas para que descarguen malware y hacerlo de una manera menos detectable que otros métodos de phishing. Según la reciente investigación de Trustwave SpiderLabs, los códigos QR requieren código fuente HTML más corto para incrustar un enlace malicioso. La mayoría de los filtros de correo electrónico verifican el contenido de los mensajes para bloquear las URL sospechosas, por lo que el qishing presenta menos "señales de alerta” que las defensas pueden detectar.
Los correos electrónicos de qishing parecen similares a los correos electrónicos de phishing, con la principal excepción de la inclusión de un código QR. Ambos imitan mensajes de empresas legítimas. Como señala la investigación de SpiderLabs, los correos electrónicos de qishing a menudo se disfrazan como notificaciones de autenticación de múltiples factores de marcas populares como Microsoft o DocuSign. El atacante espera engañar a la víctima haciéndole creer que su sesión ha caducado y que debe autenticarse nuevamente. El uso del código QR envía a la víctima a una página web falsa que solicita información de cuenta y credenciales.
Cómo mitigar el riesgo de vulnerabilidades de los códigos QR
Las personas y las organizaciones pueden tomar medidas para ayudar a mitigar el riesgo de amenazas a la seguridad de los códigos QR. Algo de esto implica usar el sentido común. Por ejemplo, los usuarios pueden determinar la legitimidad de los códigos antes de escanearlos. "Antes de escanear un código, especialmente uno en material impreso en un lugar público, asegúrese de que no tenga pegado encima un código diferente y potencialmente malicioso”, afirma Mosher. De hecho, es mejor no utilizar códigos QR que parezcan alterados de alguna manera, añade Sherman.
Además, "preste atención a la URL a la que se dirige, aunque esto no siempre es posible hacerlo antes de visitar el sitio, ya que algunos códigos no mostrarán la URL de antemano”, afirma Sherman. "Nunca inicie sesión en una aplicación usando un código QR”.
"Dado que los ataques de phishing se encuentran entre los riesgos más importantes de los códigos QR, los usuarios deben estar atentos para asegurarse de que se encuentran en un sitio legítimo”, señala Telang. "Las empresas deben tener cuidado y deberían contar con una solución de punto final unificada que les brinde la capacidad de proteger todos los dispositivos sin afectar la productividad”, añade Telang.
También es fundamental contar con seguridad de los dispositivos, como defensa contra amenazas móviles y protección contra exploits, en todos los dispositivos utilizados para acceder a los recursos corporativos, anota Sherman.
Otra buena práctica es asegurarse de que la organización que presenta los códigos QR al público sea legítima. "Si la fuente del código QR parece incompleta, no lo escanee”, afirma Mosher. Es mejor evitar URLs que difieran de la URL legítima de una empresa, especialmente si redirige a un usuario a un sitio diferente, añade Mosher.
En general, los equipos de ciberseguridad y TI -y las empresas en su conjunto- deben ser conscientes de los riesgos que implican los códigos QR. Esto es especialmente cierto con el uso cada vez mayor de dispositivos y aplicaciones móviles. "El uso de dispositivos móviles se ha vuelto mucho más frecuente, especialmente durante esta pandemia”, afirma Telang. "A esto se suma el hecho de que el uso de códigos QR también se ha disparado. Es natural que hackers sin escrúpulos intenten aprovecharse de ambos hechos”.
Basado en el artículo de Bob Violino (CSO) y editado por CIO Perú