Así explotan los atacantes los códigos QR
Los ciberdelincuentes están aprovechando el mayor uso de códigos QR para robar información confidencial o realizar campañas de phishing.
Entre los muchos impactos tecnológicos de la pandemia de COVID-19 se encuentra un aumento en el uso de códigos QR. Naturalmente, los ciberdelincuentes están aprovechando esta oportunidad y las vulnerabilidades de esta tecnología móvil para lanzar ataques. Los equipos de seguridad deben estar al tanto de esta amenaza. Un informe de MobileIron muestra que el uso global del código QR y los casos de uso han aumentado. Esto se debe en gran parte a que estos códigos hacen la vida más fácil en un mundo en el que las transacciones sin contacto se han vuelto deseadas o requeridas.
Sin embargo, las organizaciones se quedan atrás en la seguridad contra las amenazas que envuelven a estas tecnologías. Por ejemplo, el 83% de los encuestados dijeron que habían utilizado un código QR para una transacción financiera en los últimos tres meses, pero la mayoría de ellos no eran conscientes de los riesgos. Solo el 47% sabía que escanearlo podía abrir una URL y el 37% que podía descargar una aplicación. Los consumidores han escaneado códigos en tiendas minoristas, restaurantes, bares y otros establecimientos, y muchos quieren ver que cómo se utilizan como métodos de pago en el futuro. Al mismo tiempo, según el informe, más personas están utilizando sus propios dispositivos no seguros para conectarse con otros, interactuar con una variedad de aplicaciones y servicios basados en la nube y mantenerse productivos mientras trabajan de forma remota. Además, están usándolos para escanear códigos QR para tareas cotidianas, poniéndose a sí mismos y a los recursos de la empresa en riesgo.
La explotación es simple y efectiva
Los atacantes están aprovechando las brechas de seguridad y se dirigen cada vez más a los dispositivos móviles con ataques sofisticados. A menudo, los usuarios se distraen cuando están en sus teléfonos, lo que los hace más propensos a ser víctimas. Los ‘malos’ pueden fácilmente incrustar una URL malicioso en un código QR que dirija a un sitio de phishing que pueda robar las credenciales.
“Por su propia naturaleza, estos códigos no son legibles por humanos. Por lo tanto, la capacidad de alterarlos para apuntar a un recurso alternativo es simple y altamente efectiva”, asegura Alex Mosher, vicepresidente global de MobileIron. Casi tres cuartas partes de los preguntados no pueden distinguir entre un QR legítimo o malicioso. Si bien la mayoría es consciente de que estos pueden abrir una URL, lo son menos de las otras acciones que pueden iniciar.
Los ataques a dispositivos móviles amenazan tanto a individuos como empresas. “Un ataque exitoso en el smartphone personal de un empleado podría resultar en que la información de esa persona se vea comprometida o que se agoten los recursos financieros, así como que se filtren datos corporativos confidenciales”.
Así actúan los ciberdelincuentes
Lo que puede hacer que las amenazas de seguridad sean especialmente problemáticas es el elemento sorpresa entre los usuarios desprevenidos. “No tengo conocimiento de ningún ataque directo a los códigos QR, pero ha habido muchos ejemplos de atacantes que utilizan sus propios códigos en el curso de los incidentes”, añade Chris Sherman, analista senior en Forrester Research. El problema principal es que pueden iniciar varias acciones en el dispositivo del usuario, como abrir un sitio web, añadir un contacto o redactar un correo. “Normalmente puedes ver la URL antes de hacer clic en ella, aunque no en todos los casos”.
Un ataque común consiste en colocar un código QR malicioso en público, a veces encubriendo un código QR legítimo, y cuando los usuarios desprevenidos escanean el código, son enviados a una página web maliciosa que podría alojar un kit de explotación, dice Sherman. Esto puede llevar a un mayor compromiso del dispositivo o posiblemente a una página de inicio de sesión falsificada para robar las credenciales del usuario". Esta forma de phishing es la forma más común de explotación QR", dice Sherman. La explotación del código QR que conduce al robo de credenciales, el compromiso del dispositivo o el robo de datos, y la vigilancia maliciosa son las principales preocupaciones tanto para las empresas como para los consumidores, dice.
Si los códigos QR conducen a sitios de pago, entonces los usuarios pueden divulgar sus contraseñas y otra información personal que podría caer en las manos equivocadas. "Muchos sitios web hacen descargas automáticas, por lo que la mera presencia en el sitio puede iniciar la descarga de software malicioso", dice Rahul Telang, profesor de sistemas de información en el Heinz College de la Universidad Carnegie Mellon. "Los dispositivos móviles en general tienden a ser menos seguros que las computadoras portátiles o las computadoras. Dado que los códigos QR se utilizan en dispositivos móviles, [la] posibilidad de vulnerabilidad también es mayor". Debido a que muchos de estos dispositivos móviles se utilizan en el contexto de la TI empresarial, la infiltración de los dispositivos puede convertirse en un punto débil de seguridad para las organizaciones, señala.
Recientemente, el CEO de una compañía de tecnología británica advirtió al gobierno del Reino Unido sobre posibles fallas graves en la seguridad de la información personal y los datos utilizados en una nueva aplicación de rastreo de contactos que se basa en la tecnología de escaneo de códigos QR. La tecnología puede estar sujeta a un proceso llamado "attagging" o clonación, según Louis James Davis, CEO de VST Enterprises. Con el attagging, un código QR genuino es reemplazado por un código QR clonado que redirige a los usuarios a un sitio web similar donde los datos personales pueden ser interceptados y violados.
