Por Rocío Bravo
NovaRed, empresa multinacional especialista en seguridad informática advirtió que los códigos QR, utilizados masivamente por las empresas locales y usuarios de smartphone, son el nuevo medio que la industria de los hackers encontró para efectuar sus ataques y violar la seguridad y privacidad de las organizaciones, las personas y sus dispositivos móviles.
Andrés Pérez, gerente regional de Servicios de Seguridad y Conectividad IP de NovaRed, sostuvo que si bien el “código QR por sí sólo no es malware”, éstos son manipulados por los hackers que consiguen enviar al usuario hacia sitios con malware, con el objetivo de “tomar el control del teléfono celular de las personas que lo escanearon”.
El peligro que advierte el ejecutivo es que hoy, junto con que cualquier persona puede crear un código QR, los teléfonos celulares inteligentes son “empleados como un método transaccional; se está pagando a través de ellos, se ocupan servicios, se puede descontar plata de la cuenta telefónica y se está masificando el uso de éstos”.
El QR (Quick Response Barcode) es un código de barras bidimensional, que en su origen fue utilizado por la industria automotriz japonesa. La inclusión del software que lee códigos QR en teléfonos móviles permitió nuevos usos orientados al consumidor, que se manifiestan en comodidades como el dejar de tener que introducir datos de forma manual en los teléfonos.
Cómo atacan
Andrés Pérez explicó que para desencadenar el ataque, el hacker se vale de la curiosidad del usuario, quien como se ha visto, escanea desde su celular la imagen del código: “Con eso te llevan a un sitio web de paso y ese sitio te redirige a un sitio final donde va a estar alojado el malware, el que se descarga al teléfono”.
El resultado, sostuvo el ejecutivo de NovaRed “es tomar el control del teléfono, hacer lo mismo que hace un botnet. Instalan algo sin que la persona lo note y desde afuera toman el control y le dan ordenes al teléfono del tipo: “Si esta persona se conecta a su banco desde el teléfono, avísame”.
“Lo que hacen es hábilmente crear un código con trampa que redirige a un sitio no válido o bien manipular el código QR para que te dirija a un sitio para descargar malware. El código QR por sí sólo no es malware”.
Cómo prevenir
“Cuando se escanea un código QR nunca sabes si es que estás dirigiéndote a un sitio permitido o no”, afirmó el ejecutivo de NovaRed para poner el acento en que la educación y la prevención son la mejor manera de enfrentar esta nueva tendencia
Añadió que “desde el punto de vista de seguridad el código QR permite tener un medio distinto de propagación de ataques como el phishing o de sitios web para difundir malware que son muy difíciles de controlar a nivel personal y empresarial, debido a que están dirigidos específicamente a teléfonos móviles y muy pocos sistemas de seguridad están orientados a estos dispositivos, no existe una preocupación de tener un antivirus o firewall en estos equipos como sí lo hay en los PC y computadores personales”.
En el caso de los usuarios, la prevención debe tener en cuenta que hoy cualquier persona puede crear un código QR e imprimirlo no en una revista, sino que en un panfleto o afiche callejero.
Para las empresas, dijo el gerente regional de servicios de seguridad y conectividad IP de NovaRed, el consejo es “hacerse responsables de la integridad de las imágenes que está subiendo a sus páginas web”.
Dicha responsabilidad, afirmó, pasa “por contar con las herramientas para detectar si la imagen está siendo alterada y eso lo consigo con métodos que definen las características del archivo y que alertan cuando se está modificando”.
Pérez concluyó que, junto con las medidas de control, las empresas y los usuarios deben tener “claro que el código QR es un método alterable en el que traspaso información y que al igual que los computadores, los dispositivos móviles deben ser considerados como sitios que deben ser altamente seguros”.
En el caso de Websense, Elad Sharf, Investigador de Seguridad de Websense Security Labs, expresa: "Hemos estado viendo a los códigos QR como una ruta potencial hacia el código malicioso y el spam. Era cuestión de tiempo antes de que viéramos mensajes de correo basura apuntando a URLs que utilizan códigos QR”.
Para el experto, este es un movimiento claro de los creadores de spam tradicionales y su evolución para convertir a los dispositivos móviles en su blanco principal, tendencia que se empezaba a desdibujar el año pasado.
Los mensajes de correo electrónico no deseado (Spam) son similares a aquellos conocidos de la industria farmacéutica y contienen un enlace al sitio 2tag.nl (servicio Web legítimo que permite a los usuarios crear códigos QR para URL).
Una vez que la dirección 2tag.nl se carga en el navegador se muestra un código QR junto con el URL completo que genera el código QR.
Cuando el lector QR lee el código bidimensional, se carga el URL basura que puede contener un enlace malicioso.
|
