Años atrás el uso de los códigos QR no estaba tan extendido como ahora y seguro que casi nadie se planteaba la posibilidad de hackearte el móvil con códigos QR maliciosos.
El escenario actual ha cambiado radicalmente en los últimos años. Ha habido un aumento significativo en el uso de códigos QR en una amplia variedad de aplicaciones.
Los códigos QR han pasado de ser una tecnología relativamente desconocida a una herramienta omnipresente en el mundo digital y físico, en buena medida por el uso y difusión que han tenido durante el periodo de pandemia, en que los usuarios se han familiarizado con el uso de QR de forma cotidiana.
[ez-toc]
Seguridad de los Códigos QR
Por su naturaleza, un QR no es seguro o inseguro. Un código QR no deja de ser un tipo de código de barras bidimensional y su contenido sólo contiene caracteres de texto alfanuméricos y caracteres especiales.
Su contenido puede ser interpretado como una url, un número de teléfono o datos de una red WIFI por citar algunos tipos de contenidos, por lo que por lo general un QR en si mismo no es inseguro.
Por poner un ejemplo, el correo electrónico o email, de por sí no es un contenido inseguro o peligroso. Los riesgos están en los enlaces a webs fraudulentas que pueden incluir, ficheros anexados que pueden contener malware o virus que ataquen nuestros dispositivos o ordenadores, o vulnerabilidades de nuestros clientes de correo o sistema operativo.
Entonces, si un código QR de por sí no es peligroso, ¿Dónde reside el riesgo?
La popularización y uso generalizado de los códigos QR en los últimos años, ha facilitado que los usuarios y consumidores hayan convertido en un gesto cotidiano la utilización de sus dispositivos móviles para escanear códigos QR para todo tipo de propósitos: Acceder al menú de un restaurante con un QR, realizar un pago, obtener un descuento o cupón o ampliar información en línea.
Esto ha abierto las puertas para que los QR se puedan convertir en la puerta de entrada para realizar estafas, infectar dispositivos, apropiarse de datos o contraseñas de la misma manera que se han utilizado y se utilizan otros medios como emails, sms, llamadas de teléfono, redes sociales o webs maliciosas.
Tipos de códigos QR Maliciosos
Dependiendo del objetivo que persiga “el atacante”, podemos encontrar distintos tipos de QR codes maliciosos en función de la finalidad del mismo.
Entre las técnicas más frecuentes encontramos:
- Códigos QR falsos
- Códigos QR malware
- Técnicas de QRishing
- Técnicas de QRljacking
Códigos QR falsos
El sistema, aunque parezca rudimentario, es muy sencillo de implementar para los atacantes y capaz de pasar desapercibido para los usuarios. Normalmente consiste en aprovechar alguna campaña , promoción o publicidad con códigos qr en medios físicos (posters, pancartas, folletos, etc…) de marcas conocidas y de prestigio , sustituyendo el QR original por QR fake simplemente mediante un QR code malicioso que se en engancha sobre el Qr auténtico.
Normalmente el QR falso te redirige a una Web diseñada para simular la web auténtica y que intentará realizar la acción maliciosa:
- Realizar un pago
- Infectar tu dispositivo
- Instalar una app fraudulenta o de spyware
- Capturar tus datos
- Obtener datos de autenticación o bancarios
Códigos QR con malware
Básicamente son QR que intentan mediante una acción directa sobre el móvil del atacante, normalmente accediendo a una Web para descargar o instalar software malicioso. Normalmente el QR promete proporcionar alguna recompensa interesante como descuentos importantes, premios, productos gratis o similar para incentivar su lectura.
Otra manera de intentar hackear el dispositivo es mediante el uso de códigos QR que contienen cadenas de código malicioso (payloads). Estos QR están diseñados para aprovechar posibles vulnerabilidades del sistema o del lector con la finalidad de desencadenar acciones en nuestro dispositivo.
¿Qué es el QRishing?
Explicado en pocas palabras sería la variante del Phishing , en la que se pretende engañar al usuario mediante una suplantación de identidad pero mediante el uso de QR.
El QRishing funciona de la siguiente manera: el atacante crea un código QR que parece ser legítimo y lo coloca en un lugar donde los usuarios puedan encontrarlo, como en un cartel publicitario, un folleto o incluso en una página web o correo electrónico. El código QR suele contener el enlace a un sitio web falso que imita a un sitio web legítimo, (banco, correos, tiendas online, servicios) como una página de inicio de sesión de una cuenta bancaria o una página de pago de una tienda en línea.
El usuario escanea el código QR con su dispositivo móvil, lo que lo dirige al sitio web malicioso. En el sitio web malicioso, el usuario puede ser engañado para que proporcione información personal o financiera, como contraseñas, números de tarjeta de crédito o información de identificación personal.
Al igual que en otros casos puede ser redirigido a una página web de descarga de software malicioso que puede instalar automáticamente software peligroso en el dispositivo móvil del usuario.
¿Qué es el QRLjacking?
El QRLJacking (abreviatura de Quick Response Code Login Jacking) es una técnica que se centra principalmente en vulnerar los sistemas de autenticación mediante códigos QR (como por ejemplo WhatsApp), en el que se debe realizar la lectura de un QR para validar los datos de autenticación o identificarse en el servicio.
El sistema requiere de ingeniería social para convencer al usuario de que se encuentra realmente en la web dónde quiera ingresar, es decir en una web que es una copia o se parece al diseño que el usuario conoce del servicio.
- El atacante abre la página web real dónde quiere acceder mediante la lectura del QR
- Mediante ingeniería social, por ejemplo enviando un mail o un mensaje hace creer al usuario que debe volver a autenticarse ya que se ha cerrado la sesión por ejemplo por una actualización del servicio y le envía un link a la Web falsa.
- El usuario llega a la Web falsa dónde se le presenta el QR (auténtico) que debe escanear.
- Finalmente el usuario realiza la lectura del QR dando así al atacante acceso al la Web real del servicio mientras en la web falsa no se realiza ninguna acción o sencillamente le muestra un mensaje de error.
No es fácil realizar este tipo de ataque ya que tanto la victima como el atacante tienen que estar online de forma simultánea e intervienen diferentes factores tanto del lado de la atacante como de la víctima, pero es factible.
De hecho, y como curiosidad, se puede hacer la prueba de acceder al servicio de WhatsApp Web y ver cómo el QR que genera automáticamente para realizar el acceso cambia cada 20 segundos para evitar este tipo de ataques.
Recomendaciones para evitar el riesgo de códigos QR Maliciosos
Se recomienda verificar cuidadosamente el sitio web al que se dirige el código QR antes de ingresar información personal, contraseña o datos bancarios como cuentas o tarjetas de crédito.
Debemos tener precaución al escanear códigos QR de fuentes desconocidas o sospechosas y evitar escanear códigos QR sospechosos o con apariencia de estar manipulados que aparecen en lugares públicos así como QR que se publiquen en sitios web no confiables.
Es igualmente recomendable mantener el software de seguridad actualizado en su dispositivo móvil y utilizar contraseñas fuertes y únicas para cada cuenta.
