Un cambio tecnológico acelerado por la pandemia de COVID-19 es el resurgimiento de los códigos QR. A medida que se generaliza su uso, las posibilidades de explotarlos crecen exponencialmente. Este artículo confirma el uso de los códigos QR en los ataques de phishing.
Los atacantes adaptan y perfeccionan constantemente sus tácticas en un intento de eludir la detección o de ser más eficaces en lograr sus objetivos maliciosos. A menudo, estos ajustes tácticos se aprovechan de los cambios sociales; un ejemplo reciente fue el aumento de correos electrónicos de phishing dirigidos a empleados en trabajo remoto.
¿Qué son los códigos QR?
Los códigos de respuesta rápida (QR) son códigos de barras que almacenan información de forma bidimensional, lo que significa que la información que contienen puede leerse de arriba abajo y de izquierda a derecha. Los dispositivos digitales, incluidos los smartphones, pueden leer fácilmente la información contenida en la imagen.
Cada código tiene una capacidad máxima de datos de 4.296 caracteres alfanuméricos. El origen de esta tecnología se remonta a 1994, cuando unos ingenieros japoneses empezaron a utilizar los códigos de barras para hacer un seguimiento de las piezas de una fábrica de automóviles. Cada código QR contiene patrones de detección de posición, que facilitan una lectura precisa y rápida por parte de los dispositivos de escaneado.
Después de limitarse principalmente a casos de uso industrial, los códigos QR empezaron a extenderse a una serie de aplicaciones orientadas al consumidor en 2011, como empresas que los colocaban en anuncios de eventos, descuentos y promociones. Sin embargo, su adopción fue lenta y se especuló su desaparición en 2014, debido a una combinación de mala implementación por parte de las empresas y de usuarios que no estaban lo suficientemente motivados como para instalar la aplicación específica necesaria para escanearlos.
A medida que los teléfonos inteligentes se hicieron más avanzados, los fabricantes añadieron escáneres QR a las cámaras de sus teléfonos inteligentes, de modo que los usuarios no necesitaban una aplicación dedicada. El resultado fue un aumento gradual del número de personas que escaneaban códigos QR para descargar aplicaciones, visitar sitios web o acceder a un punto de acceso Wi-Fi, en comparación con los métodos habituales.
El resurgimiento de los códigos QR
Entre los muchos cambios tecnológicos influidos por COVID-19 se encuentra el enorme resurgimiento de los códigos QR. Con el distanciamiento social obligatorio en los entornos minoristas, negocios como restaurantes y cafeterías tuvieron que idear formas de mantener a salvo al personal y a los clientes mientras intentaban ganar dinero y sobrevivir.
Los códigos QR ofrecieron una solución al permitir a los clientes escanear un código de barras, ver los menús y hacer pedidos, todo ello manteniendo una distancia de seguridad. La renuncia a los menús físicos tenía por objeto ayudar a reducir la propagación del coronavirus a través de las gotitas de los menús mal desinfectados.
Otro uso fue para confirmar el estado de vacunación de las personas. En lugares en los que la entrada estaba limitada únicamente a personas totalmente vacunadas, escanear un código ayudaba a las empresas a asegurarse de que cumplían estos protocolos de seguridad.
¿Cómo funciona un ataque de phishing con código QR?
Ahora que los códigos QR son omnipresentes, los ciberdelincuentes tienen la oportunidad de aprovecharse de su popularidad y estafar a la gente. Incrustar enlaces a sitios web maliciosos dentro de un código QR puede dar buenos resultados, ya que la gente tiende a confiar automáticamente en ellos.
Mientras que las URL sospechosas son detectables por los humanos en texto plano, enmascararlas dentro de códigos QR significa que la gente no puede leerlas y verificar que la URL parece sospechosa.
El potencial de que los ciberdelincuentes se aprovechen de los códigos QR llevó a los analistas de seguridad a acuñar un nuevo tipo de ataque de phishing conocido como “quishing”. A continuación te explicamos cómo funciona según Ankush Johar:
Paso 1: Recibes un correo electrónico con un código QR, que parece venir como un “Archivo Compartido” a través de sharepoint, onedrive o de Google drive. (Ejemplo a continuación de la demostración de HumanFirewall)
Paso 2: Sacas tu teléfono y escaneas el código en tu cámara, y ¡listo! Has sido víctima de phishing. (Imagen de muestra de cómo se ve en los dispositivos Apple/iOS y Android).
Paso 3: El código QR te lleva a un enlace malicioso. Llegó a tu buzón de correo porque no fue detectado por las Secure Email Gateways y sus analizadores de enlaces, pero a partir de este punto el peligro es que el enlace puede robar credenciales o descargar malware en el teléfono y desencadenar riesgos, que no solo afectarán al dispositivo, sino también a la red y la seguridad corporativa.
Ejemplos de ataques reales de phishing con códigos QR
Ya no es mera especulación, se han producido algunos ejemplos de incidentes que se aprovechan directamente de la creciente dependencia de las personas y las empresas del uso de códigos QR.
Estafas en San Antonio y Austin
En diciembre de 2021, las fuerzas de seguridad de San Antonio y Austin advirtieron a los tejanos de una estafa con códigos QR en la que los ciberdelincuentes colocaban pegatinas con códigos QR maliciosos en los parquímetros. Ambas ciudades sólo permiten pagar el aparcamiento con monedas o con una app específica. Aprovechando el uso generalizado de los códigos QR, los autores de la amenaza esperaban que los incautos escanearan el código e intentaran pagar el aparcamiento en la página web a la que se les enviaba. Esta URL era, de hecho, un enlace falso que engañaba a la gente para que revelara los datos de su tarjeta de pago.
Robo de credenciales de Microsoft 365
En otoño de 2021, los atacantes llevaron a cabo una campaña de robo de credenciales mediante el uso de cuentas de correo electrónico previamente comprometidas para enviar mensajes de correo electrónico desde las cuentas reales utilizadas por los compañeros de trabajo, que pasan correctamente por los email security gateways (SEG) tradicionales, y parecen reales y seguras para los destinatarios.
Estos correos electrónicos de phishing decían incluir un mensaje de voz importante, pero requerían que la víctima escaneara un código QR para poder escuchar el mensaje. Los usuarios que escaneaban el código QR eran enviados a un sitio web de phishing que les pedía sus credenciales de Microsoft O365 antes de darles acceso al archivo de audio inexistente.
No está claro si alguien cayó en esta estafa, pero los atacantes consideran que las credenciales de inicio de sesión de Microsoft Office 365 son especialmente útiles para lograr otros objetivos, como robar datos confidenciales o introducirse en la red de una empresa.
Consejos para utilizar los códigos QR de forma segura
Hoy en día los códigos QR parecen estar en todas partes y se utilizan para muchas aplicaciones diferentes de cara al cliente, ¿Qué puedes hacer para utilizarlos de forma segura?
- En los códigos QR que te llevan a una URL, examina la dirección para asegurarte de que es auténtica y no contiene errores tipográficos.
- Ten cuidado al escanear códigos URL físicos, que no hayan sido manipulados, y mucho cuidado si ves un código QR adhesivo en cualquier lugar.
- No descargues aplicaciones escaneando directamente; en su lugar, anota el nombre de la aplicación, búscala en la tienda de aplicaciones que utilices y descárgala desde allí.
- Si alguna vez recibes un correo electrónico en el que se te informa que tienes que completar una transacción con un código QR, llama al banco o a la entidad financiera para verificar esta información y/o navega hasta el sitio web sin escanear el código para asegurarte de que estás visitando una URL de confianza.
- Desconfía de cualquier código QR que te informe de la posibilidad de ganar algún tipo de premio si escaneas el código.
- En general, no confíes en los códigos QR de los correos electrónicos, ya que sería más fácil y tendría más sentido que un remitente legítimo insertará un enlace real en el texto del correo electrónico.
La amenaza de las estafas con códigos QR actualmente es tan alta que el FBI ha publicado una alerta en la que explica cómo los ciberdelincuentes manipulan estos códigos para robar dinero.
Ahora que conoces los riesgos potenciales y las medidas de mitigación que debes tomar, tendrás más posibilidades de mantenerte a salvo durante el resurgimiento de los códigos QR.
