La proliferación de códigos QR en varios ámbitos de nuestra vida diaria y el empujón que supuso a su empleo la pandemia también provocó que algunos se fijaran en ellos como posible vector de ataque. Esto es algo que vemos que se repite de forma periódica, y no es de extrañar, debido al desconocimiento que muchos usuarios aún tienen respecto a su uso de forma maliciosa.
Multas falsas con códigos QR
Durante los últimos días han sido varios los medios de comunicación y blogs especializados en ciberseguridad que se han hecho eco de una supuesta estafa que se estaría produciendo en el barrio de Carabanchel, Madrid, donde se están utilizando multas falsas que incorporan un código QR para que el usuario que las reciba las escanee. La alarma no tardó en extenderse y no fueron pocos los que alertaban de una posible estafa a los conductores que aparcaran en ese barrio madrileño.
Sin embargo, el código QR proporcionado en las multas fraudulentas redirigían a la sección de pago de infracciones del ayuntamiento de Madrid, descartando la posibilidad de que se tratase de un robo de datos de la suplantación de un organismo oficial para robar información de tarjetas de crédito.
Ya se trate de alguna broma para confundir a los conductores que aparquen por esa zona, o bien de una posible prueba de concepto para probar la viabilidad de un ataque usando falsas multas de tráfico (algo que sucedió hace unos meses en Estados Unidos) , este hecho nos recuerda la necesidad de andar con mucho cuidado a la hora de escanear códigos QR que nos encontremos en nuestro día a día o de forma ocasional.
Posibles ataques usando códigos QR
A pesar de que su uso no es novedoso, su extensión durante los últimos años ha hecho que cada vez los estemos utilizando más, algo que también pueden hacer los ciberdelincuentes. Para ellos no es difícil usarlos de forma maliciosa, ya que, en esencia, se trata de cadenas de texto codificadas que pueden contener enlaces a sitios tanto legítimos como maliciosos.
Actualmente, usar un código QR para realizar un ataque contra el dispositivo usado para leerlo o la información que se almacena en él es fácil, aunque, por el momento, no es algo que esté muy extendido. Las formas de explotarlos son variadas e incluyen:
- La redirección a un sitio web malicioso preparado para robar información confidencial
De la misma forma que se incluyen enlaces en correos electrónicos para que los usuarios piquen y vayan a webs preparadas por los delincuentes, esta redirección también puede realizarse usando códigos QR.
- Descarga de malware en el dispositivo
No solo se nos puede redirigir a una web maliciosa usando un QR, sino provocar que desde esa misma web se realice una descarga de un malware en nuestro dispositivo. Normalmente se necesitará que el usuario ejecute el archivo y le dé los permisos necesarios para que realice su actividad maliciosa, por lo que debemos estar atentos y no actuar antes de que sea demasiado tarde.
- Realización de acciones potencialmente peligrosas en el dispositivo
Los códigos QR tienen la capacidad de iniciar acciones en el dispositivo que los lee, normalmente relacionadas con una aplicación asociada, por ejemplo, a la lectura de ficheros PDF. Esto es algo habitual cuando, por ejemplo, estamos leyendo la carta de un restaurante en nuestro smartphone. Pero existen otras acciones como conectar el dispositivo a una red Wi-Fi, enviar un correo electrónico o un mensaje SMS con un texto predefinido o guardar información de contacto en el dispositivo que podrían usarse para hacer que un dispositivo se conectase a una red comprometida o enviar mensajes en nombre de la víctima.
- Desvío de pagos o peticiones de dinero
Algunas aplicaciones financieras o incluso de mensajería permiten realizar pagos usando códigos QR con los datos del destinatario, algo usado por algunos comercios para facilitar los pagos de sus clientes. Sin embargo, un delincuente podría llegar a generar códigos con solicitudes de cobro de dinero para engañar a los compradores.
- Robo de información confidencial
En los últimos años, y como consecuencia de la pandemia, los códigos QR se utilizan como certificado para verificar la información de una persona, como su DNI o su pase de vacunación. En estos casos, los códigos QR pueden contener información tan sensible como la contenida en su DNI o historial médico, que un atacante podría obtener fácilmente escaneando el código QR. Sin ir más lejos, muchas aplicaciones como WhatsApp, Telegram o Discord utilizan en ocasiones códigos QR para autenticar las sesiones de los usuarios y así permitirles acceder a sus cuentas. Como ya ha ocurrido con WhatsApp con ataques como el QRLjacking, los atacantes pueden engañar a un usuario suplantando la identidad del servicio y engañando al usuario para que escanee el QR proporcionado por el atacante.
En la mayoría de los casos descritos, el atacante tendría que generar un código QR malicioso que sustituya al código original que va a escanear la víctima. En otras palabras, los ataques implican ingeniería social y se basan en engañar a la víctima para que lleve a cabo una acción malintencionada.
Consejos para usar los códigos QR de forma segura
Una vez hemos descrito el uso habitual de los códigos QR y las maneras en que pueden ser aprovechados por los delincuentes, es hora de ver cómo podemos protegernos ante estos ataques. Empezaremos por la revisión física, y es que no sería extraño ver que alguien ha pegado un código QR fraudulento encima de otro legítimo, por lo que debemos asegurarnos de que el original no ha sido manipulado.
Algo que parece obvio pero que muchos usuario aún no cumplen es evitar escanear códigos QR que nos encontremos de forma repentina o que se nos envíen mediante mensajes no solicitados. Así mismo, debemos tener mucho cuidado a la hora de realizar un pago usando un código QR, y usarlos solamente en aquellos comercios de confianza.
Tampoco debemos permitir que los códigos QR inicien acciones automáticas al escanearlos sin antes revisarlo previamente, ya sea abrir un sitio web o un documento. Cuando los escaneemos, hay que echarle un vistazo a la URL proporcionada en busca de algo fuera de lugar y, aun así, a menudo es mejor evitar introducir tus datos de acceso o información personal en un sitio al que has llegado a través de un código QR por si la web hubiera sido suplantada.
A la hora de compartir información confidencial mediante un código QR, debemos asegurarnos de que solo lo hacemos con organismos oficiales que realmente lo requieran, como, por ejemplo, a la hora de revisar certificados sanitarios. Esto es algo que se ha vuelto común a la hora de viajar a ciertos países, por lo que debemos asegurarnos de compartir esta información solamente con el personal autorizado para manejarla.
En definitiva, se trata de utilizar los códigos QR con la misma precaución que los enlaces o archivos adjuntos en correos electrónicos o aplicaciones de mensajería, sospechando de todos ellos y, especialmente, de los que no han sido solicitados. Todo esto sin olvidarnos de mantener nuestras aplicaciones actualizadas y de utilizar un software de seguridad en nuestro dispositivo para detectar enlaces y descargas de ficheros maliciosos.