Hoy en día los códigos QR están por todas partes: restaurantes, eventos, billetes de transporte, anuncios, wifi público o incluso pagos. Su uso lo hemos normalizado tanto que casi nadie se plantea si son seguros. Y ahí está el problema.
Un QR no es más que una forma de ocultar información, normalmente contiene una dirección web y esa dirección puede ser legítima… o puede ser una trampa!
Qué hace realmente un código QR.
Cuando escaneas un QR, tu móvil no "interpreta" el contenido de forma inteligente (problema numero 1), simplemente lee el código, extrae una URL o instrucción y por lo general te redirige o ejecuta la acción.
El problema es que no puedes ver el destino real antes de escanearlo físicamente, lo que abre la puerta a engaños.
Cómo se usa en ataques reales.
Los ataques más comunes no requieren técnicas avanzadas. Se basan en engaño visual y rapidez. Un ejemplo típico que podemos encontrarnos cualquier día...
- Te colocan un QR falso encima de uno legítimo en el parking cerca de un concierto, por ejemplo para una promo para el próximo festival de verano.
- Como es lógico... el usuario lo escanea sin sospechar.
- Se abre una página que imita un servicio real (en este caso iniciar sesión en tu red social favorita).
- Se introducen las credenciales sin darte cuenta de que es una copia...
- Sin saberlo, acabas de proporcionar información sensible de la forma más tonta y sin apenas esfuerzo.
Esto es sólo un ejemplo, en otros casos, el QR puede llevar a descargas de aplicaciones maliciosas, formularios falsos de verificación bancaria, páginas de pago fraudulentas, etc.
¿Por qué este método funciona tan bien?
Este tipo de ataque tiene éxito por tres razones:
- Confianza automática y excesiva en los QR.
- Uso cotidiano sin precaución.
- Imposibilidad de "ver" el enlace antes de abrirlo.
A diferencia de un enlace sospechoso en un email, aquí no hay texto que analices, solo un cuadrado que parece inofensivo.
Señales de alerta.
No todos los QR son peligrosos, pero hay situaciones de riesgo claro. Lo más normal es sospechar si ves un QR pegado encima de otro, que son pegatinas mal impresas o añadidas recientemente, códigos en lugares públicos sin un contexto claro, solicitudes de login o datos sensibles tras escanear...
Y lo más importante... ¿Cómo protegerte?
Algunas medidas básicas reducen mucho el riesgo. En algunas ocasiones te permite comprobar la URL antes de abrirla (no todos los teléfonos te dejan esa opción). Aunque parezca evidente, EVITA introducir contraseñas en páginas abiertas desde QR desconocidos, no suele terminar bien. Otra muy buena medida es no escanear códigos en carteles manipulados o dudosos, seguramente alguien lo haya pegado ahí adrede. Y una última medida, quizás la más pesada, es la de usar apps de cámara o lectores que muestren el enlace antes de abrirlo... toda una ventaja!
Conclusión.
Los códigos QR no son peligrosos por sí mismos. El riesgo aparece cuando se usan como herramienta de engaño y su popularidad los ha convertido en un vector perfecto para ataques de phishing modernos.
Escanear rápido es cómodo, pero en tiempos modernos, si quieres seguridad, la comodidad suele ser un mal aliado.
>_Saludos!
No hay comentarios:
Publicar un comentario