Códigos QR, problemas de seguridad

Hacen realidad las compras virtuales, dan vida a las obras de arte de los museos y facilitan la facturación en el aeropuerto. Los códigos QR, omnipresentes con la publicidad fuera de casa desde la década de 2010, están en todas partes.

Sin embargo, algunos pueden preguntarse si los códigos QR son realmente seguros. Dada su simplicidad, ¿abundan las piratería y la actividad maliciosa?

Los códigos QR son muy comunes hoy en día, lo suficiente como para que los atacantes estén descubriendo formas de usarlos con fines de lucro. ¿Cómo se pueden usar los códigos QR de esta manera y qué puede hacer para aumentar la seguridad de los códigos QR y protegerse contra estas estafas?

¿Qué son los códigos QR?

Los códigos QR (o de respuesta rápida) son códigos de barras de estilo matricial que se imprimen con frecuencia en varios medios, como vallas publicitarias y folletos. Son una herramienta de comunicación intermedia que utiliza datos de un medio impreso para recuperar datos en un medio digital. En otras palabras, los códigos QR unen lo online y lo offline.

Los códigos QR son una mejora técnica de los códigos de barras. Mientras que los códigos de barras se consideran unidimensionales, los códigos QR son bidimensionales. Los códigos QR pueden almacenar hasta 7089 dígitos o 4296 caracteres. Esto incluye signos de puntuación y caracteres especiales. Por lo tanto, los códigos QR se pueden usar para codificar palabras, frases, URL de Internet y también credenciales de inicio de sesión.

A los especialistas en marketing les encantan los códigos QR porque son un método conveniente para optimizar campañas. En lugar de que los clientes ingresen una dirección web manualmente, los códigos QR eliminan posibles errores tipográficos al enviar a los usuarios directamente al sitio web, formulario de registro o aplicación de una empresa.

QRL, o Quick Response Code Login, surgió como una forma de superar dos de las principales quejas que afectan a los inicios de sesión tradicionales basados ​​en contraseñas.

  • Fatiga de las contraseñas: con la cantidad de servicios en línea que crece día a día, pedirle a un usuario que cree y recuerde una contraseña segura para cada una de sus cuentas se vuelve rápidamente inmanejable. Entonces, las personas terminan reutilizando las mismas contraseñas para múltiples sitios / servicios. Esa es una muy mala idea por muchas razones. Es decir, porque si una contraseña que usas para muchos servicios se ve comprometida, tu cuenta para todos esos servicios se verá comprometida. Eso multiplica efectivamente el daño por la cantidad de sitios / servicios que comparten esa contraseña.
  • Ataques de repetición: las credenciales tradicionales basadas en contraseñas son vulnerables a los ataques de repetición. Un ataque de repetición es un tipo de ataque de intermediario, en el que la transmisión de datos legítimos (las credenciales de inicio de sesión de un usuario, por ejemplo) es retrasada e interceptada por el atacante, quien luego retransmite los datos interceptados para suplantar la identidad. el usuario real y potencialmente robar sus datos. Debido a que los QRL cambian con cada intento de inicio de sesión, cierra la puerta a este tipo de ataques.

Pero eso no significa que los QRL sean invulnerables, de ninguna manera, como veremos.

¿Para qué se utilizan?

Los códigos QR, abreviatura de «códigos de respuesta rápida», nacieron en 1994 como una forma de que el fabricante japonés de repuestos para automóviles Denso Wave rastreara las partes en las fábricas de automóviles. Estos códigos de barras bidimensionales permiten que la cámara de un teléfono inteligente lea hasta 4.000 caracteres de información de forma instantánea.

Después de crecer en uso y amplitud de aplicaciones durante décadas, los códigos QR están teniendo un momento. En 2020, los consumidores y las empresas adoptaron soluciones sin contacto. Las empresas de pago centradas en aplicaciones, organizaciones benéficas, organizaciones sin fines de lucro y sistemas de punto de venta utilizaron generadores de códigos QR en línea como una forma de crear portales de clientes que evitaran presionar botones e intercambiar tarjetas de crédito.

Las empresas de tecnología más grandes están adoptando los códigos QR a lo grande. Pero casi todas están encontrando códigos QR útiles para información de autoservicio en tiendas minoristas, transacciones y otros usos. Lo más interesante es que también serán útiles para la realidad aumentada. Las pegatinas de códigos QR en un objeto, una pared o una mesa pueden servir como un ancla en el espacio 3D para los objetos de realidad virtual y la fuente de los datos.

Las pantallas inteligentes ahora pueden admitir códigos QR para escanear artículos comestibles y agregarlos a una lista de compras. Las redes sociales han adoptado códigos QR para vincular a perfiles personales. No hay duda de que los códigos QR ahora son totalmente convencionales.

Una encuesta de MobileIron encontró que el 84% de los encuestados había escaneado un código QR antes, y un tercio lo había hecho la semana anterior. Lo que plantea la pregunta: ¿son seguros los códigos QR?

Problemas de seguridad

Los códigos QR son convenientes y excepcionalmente poderosos para los delincuentes.

Esencialmente, pueden servir como URL, ofreciendo el mismo tipo de riesgos que abrir un sitio web malicioso en un teléfono. Pero a diferencia de una URL, es menos probable que las personas reconozcan un código QR malicioso. Más allá de las URL, también beneficia a los malos que la mayoría de la gente no sepa que un código QR puede escribir un correo electrónico o mensaje de texto o hacer una llamada telefónica. A la mayoría de los usuarios no les preocupa el riesgo de seguridad de usar códigos QR.

Los actores de amenazas pueden enviar códigos QR maliciosos a través de mensajes instantáneos, redes sociales, correo electrónico, SMS, lo que sea. Y los códigos QR pueden iniciar acciones en los teléfonos inteligentes, como iniciar una aplicación de pago y realizar un pago, agregar un contacto o seguir una cuenta maliciosa en las redes sociales. También pueden divulgar la ubicación de la víctima o agregar una red Wi-Fi maliciosa.

Los códigos QR dinámicos son un riesgo especial. Los datos almacenados en ellos se pueden cambiar después de que se generan, o pueden presentar diferentes datos a diferentes tipos de dispositivos.

El aumento de los códigos QR también coincide con el aumento de las criptomonedas, con un efecto desdichado. Las direcciones de Bitcoin a menudo se transmiten a través de códigos QR, lo que es mucho más conveniente que escribir una dirección de Bitcoin larga. Los códigos QR inyectan datos y Bitcoin son datos, por lo que el abuso de los códigos QR para robar Bitcoin era inevitable.

A continuación, se muestran algunas formas en las que terceros pueden comprometer los códigos QR:

  • Pueden imprimir carteles o folletos con códigos QR maliciosos y distribuirlos en lugares públicos. Estos códigos redirigirían a los usuarios que los escanean a páginas de destino no confiables y les pedirán que descarguen software malicioso que roba sus datos privados.
  • Una vez finalizada una campaña de marketing, es posible que los códigos QR originales sigan existiendo aunque la dirección de destino ya no sea propiedad del creador. Los terceros pueden comprar el sitio, reutilizar el enlace del código QR y enviar a los usuarios a una página de destino diferente.
  • Podían imprimir pegatinas con códigos QR falsos y hostiles y pegarlos sobre los legítimos. Estos códigos podrían llevar a los usuarios a sitios web de phishing en lugar del sitio web previsto o la página de ofertas especiales.

¿Los códigos QR recopilan mi información personal?

La mayoría del software de generación de códigos QR recopila datos mínimos de los usuarios que escanean los códigos y nunca recopila información de identificación personal. Los únicos datos que podría recopilar, que solo serían visibles para el creador de los códigos, incluyen la ubicación (ciudad y país del usuario), número de escaneos (cuántas veces el usuario escaneó el código), hora (a qué hora escaneó el código) y el sistema operativo del dispositivo que escaneó el código (es decir, iPhone o Android).

¿Qué es QRLjacking?

QRLjacking es un ataque en línea que consiste en engañar a un usuario desprevenido para que escanee el QRL proporcionado por el atacante en lugar del QRL real emitido por el proveedor de servicios. Una vez que el usuario escanea el QRL malicioso, el atacante obtiene acceso a la cuenta del usuario y suceden cosas malas.

QRLjacking, como muchos ataques en línea, requiere algún tipo de ingeniería social para engañar a la víctima y hacer que escanee el QRL comprometido.

A continuación, se muestra un ejemplo de un ataque QRLjacking típico:

  • El atacante inicia una sesión QR del lado del cliente para el sitio web / servicio en cuestión.
  • Luego, el atacante clona el código QR de inicio de sesión en una página de inicio de sesión falsa que imita de cerca un servicio en línea legítimo. Los códigos QR que muestra son válidos y se actualizan periódicamente.
  • Usando alguna forma de ingeniería social, el atacante envía la página falsa a la víctima. Puede ser un correo electrónico con una URL, una publicación de Facebook, incluso un mensaje de texto, lo que sea, siempre que engañe a la víctima para que haga clic en el enlace.
  • El usuario escanea el QRL malicioso con la aplicación móvil para la que se diseñó el QRL.
  • El atacante obtiene acceso a la cuenta de la víctima y el servicio en línea no se da cuenta, ya que comparte los datos del usuario con el atacante.

Ataques de QRLjacking en el mundo real

En abril de 2019, OWASP.org, The Open Web Application Security Project, creó un repositorio de GitHub que aloja herramientas de software para perpetrar ataques de QRLjacking, con instrucciones y un Wiki. Los investigadores de seguridad a veces publican cosas «desagradables» con fines de investigación.

En la página de GitHub, OWASP enumera los servicios en línea que, en abril de 2019, se sabía que eran vulnerables a los ataques de QRLjacking. He reproducido la lista a continuación. Algunos de los servicios en línea que figuran en la lista de OWASP pueden sorprenderte.

La mayoría de estos servicios son chinos o rusos, donde los códigos QR son mucho más comunes.

Aplicaciones de chat

  • Whatsapp
  • WeChat
  • Line
  • Weibo
  • Mensajería instantánea QQ

Servicios de correo

  • QQ Mail (Personal y Empresarial Corporativo),
  • Correo Yandex

Comercio electrónico

  • Alibaba
  • Aliexpress
  • Taobao
  • 1688.com
  • Alimama
  • Viajes a Taobao

Banca en línea

  • AliPay
  • Yandex Money
  • TenPay

Servicios de pasaporte

  • Pasaporte Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc.)

Software de gestión móvil

  • Airdroid

Otros servicios

  • MyDigiPass
  • Inicio de sesión de Zapper & Zapper WordPress mediante el complemento de código QR
  • Aplicación Trustly
  • Yelophone
  • Alibaba Yunos

¿Cómo mitigar los ataques QRLjacking?

No hay mucho que los usuarios puedan hacer para protegerse contra los ataques de QRLjacking más allá de no usar QRL en absoluto. De hecho, es la recomendación número uno de OWASP para mitigar el QRLjacking.

Más allá de eso, existen algunas medidas que los administradores de sitios web pueden tomar para minimizar la superficie de ataque. Aunque también deberían dejar de usarlo como medio para autenticar a sus usuarios. Pero si debes usar QRL, aquí hay algunos consejos de seguridad.

Correo electrónico / SMS de confirmación

El sitio web / servicio envía un correo electrónico de confirmación o un mensaje SMS al usuario, después de que haya iniciado sesión con el QRL. De esa manera, el usuario podría determinar que algo está pasando si no recibe el mensaje de confirmación.

Direcciones IP restringidas

Restringir las direcciones IP que pueden usar QRL es otra forma de mitigar los ataques de QRLjacking. El usuario debe solicitar el QRL del sitio / servicio, por lo que el servicio conoce tu dirección IP en este punto. Esto bloquearía la solicitud de autenticación del servidor del atacante. Sin embargo, hay formas en las que un atacante podría falsificar tu dirección IP y potencialmente pasar por alto esta medida de seguridad.

Ubicación restringida

De manera similar a lo anterior, otra medida de mitigación sería restringir las ubicaciones desde las que se aceptan las solicitudes de autenticación. Debido a que el sitio web / servicio inevitablemente conoce la dirección IP del usuario, también conoce su ubicación general. Si bien no es infalible, esto podría frustrar una solicitud de autenticación del atacante siempre que el servidor malicioso no se encuentre en la misma ubicación general que la víctima.

Pero nuevamente, estas son medidas de mitigación relativamente poco prácticas. Y ninguno de ellos es una bala de plata. El número uno es teórico. El número dos no es tan difícil de eludir. Y el número tres no funcionará si el servidor del atacante está en la misma ubicación general que la víctima.

Entonces, la mejor mitigación es no usar QRL en absoluto.

Si, como usuario, debes usar QRL, aquí hay algunos consejos de sentido común que pueden ayudarte. Estas son cosas que deberías hacer de todos modos. No solo en un contexto en el que intentas defenderte del QRLjacking.

  • Utiliza un cortafuegos: todos los principales sistemas operativos tienen un cortafuegos entrante integrado y todos los enrutadores comerciales del mercado tienen un cortafuegos NAT incorporado. Asegúrate de que estén habilitados, ya que pueden protegerte en caso de que hagas clic en un enlace malicioso.
  • Si tu navegador web muestra una advertencia sobre un sitio web al que estás intentando acceder o su certificado SSL, presta atención y navega fuera de ese sitio.
  • No hagas clic en enlaces o archivos adjuntos en correos electrónicos a menos que sepas exactamente quién lo envió y qué es.

¿Cómo puedo aumentar la seguridad del código QR?

En última instancia, debes tener el mismo nivel de precaución por el que todos los usuarios de Internet deben esforzarse:

  • No escanees códigos QR de fuentes que no puedas verificar, como las incluidas en correos electrónicos no deseados y materiales impresos en lugares públicos. Antes de escanear cualquier código, pregúntate si la empresa parece legítima y si el diseño parece profesional.
  • Comprueba si hay manipulación. ¿El código QR que estás escaneando en un póster o volante es parte del diseño original o es una pegatina colocada en la parte superior?
  • Cuando un código QR te lleva a una página de destino, asegúrate de que la URL del sitio parezca auténtica.
  • Para mayor seguridad, desactiva la función «abrir sitio web automáticamente» en tu teléfono. De esa manera, cuando un código QR te dirige a una página web, primero puedes ver la URL y verificar si es un enlace legítimo.

Cómo se pueden utilizar incorrectamente los códigos QR: el debate sobre el pase verde de Europa

El uso responsable de códigos QR es un tema muy poco abordado, y que recientemente ha llamado mucho la atención a medida que las tasas de vacunación comenzaron a aumentar en toda Europa continental.

A lo largo de 2020, los medios de comunicación de todo el mundo mantuvieron un ojo atento a la península italiana, ya que Italia fue uno de los primeros países en soportar la peor parte de la pandemia y sus efectos debilitantes sobre las personas y la economía. A medida que el sistema de salud del país se derrumbó, lo que provocó un gran número de muertos y miles de familias en duelo, los gobiernos de las naciones europeas se dieron cuenta de que era necesario tomar medidas drásticas.

Uno de ellos fue el problema del Covid Green Pass . Entonces, ¿qué es exactamente el Covid Green Pass?

Certificado verde digital

Según un informe de la Unión Europea, el 17 de marzo de 2021, la Comisión Europea presentó una propuesta que busca la regulación de un ‘certificado verde digital’. Esto era necesario para permitir el movimiento libre y seguro de los ciudadanos de la UE durante la pandemia y los consiguientes cierres parciales. También iba acompañado de una propuesta que cubría a los nacionales de terceros países que se encontraban o residían legalmente en la UE.

El certificado verde digital proporcionaría una prueba de vacunación, proporcionaría los resultados de las pruebas de Covid-19 e información sobre la adquisición de anticuerpos. El certificado tenía como objetivo ayudar a restablecer la libre circulación de personas dentro de la UE.

El 25 de marzo de 2021, el Parlamento Europeo decidió acelerar el trabajo sobre la propuesta de la comisión y se implementó con éxito en junio de 2021.

La UE ha comenzado a emitir ‘Covid Green Passes’, el certificado digital que confirma el estado de salud de las personas dentro de la UE. Dependiendo de diferentes criterios, el pase otorga a su titular uno de tres estados:

  • Vacunado contra Covid-19
  • Prueba negativa
  • Recuperado de Covid-19

A medida que el mundo comienza a despertarse lentamente de la catástrofe de 2020, hacer que dicho pase sea obligatorio para ingresar a atracciones turísticas, restaurantes, oficinas y otros espacios públicos es ciertamente un movimiento responsable, aunque un pequeño detalle planteó una serie de preocupaciones que nadie realmente vio venir.

Dado que los códigos QR se han utilizado durante toda la pandemia como una forma eficaz de limitar el contacto, se estaban utilizando para todo, desde enlaces de pautas de salud pública hasta pagos médicos, parecía natural que el Covid Green Pass también llevara un código QR.

¿El problema?

El Green Pass también contiene una cantidad significativa de información personal, lo que aumenta las preocupaciones sobre la seguridad y la privacidad personal.

Los datos de los certificados digitales serán fácilmente propensos a falsificaciones.

Desafortunadamente, la mayoría de las personas no son tan cuidadosas, o simplemente no tienen conocimientos digitales. Combina esto con una pandemia global y un sistema de certificación puramente digital, y tendrás una receta para el desastre.

Ansiosas por celebrar su estado de vacunación, muchas personas emocionadas acudieron a las redes sociales, mostrando con orgullo sus Covid Green Passes (y códigos QR) en videos y fotos. De acuerdo con las especificaciones oficiales, los certificados digitales enlazan estos códigos QR para contener una gran cantidad de información confidencial, como el nombre, fecha de nacimiento, estado de vacunación e incluso el lugar donde se han vacunado. En manos de las personas equivocadas, esto podría servir fácilmente como un método para acechar y acosar a víctimas inocentes.

¿Cómo mantienen las empresas de QR la seguridad del usuario?

Si estás pensando en utilizar códigos QR para administrar tu negocio de manera más eficaz, también deberás proporcionar fuertes medidas de seguridad y privacidad para tu organización y tus clientes.

Un buen generador de códigos QR con una sólida reputación y un largo historial tiene esto en cuenta. Debe utilizar los siguientes protocolos para mantener seguros los datos de cualquier escáner:

Un sistema detallado contra el ciberdelito

Se debe usar un sistema especializado para detectar ataques dañinos, pasivos y activos. Su configuración de seguridad debe estar en línea con los estándares corporativos globales y de vanguardia, así como con las regulaciones gubernamentales.

Seguridad estadística a prueba de balas

Es un hecho bien conocido que todos los generadores de códigos QR aprovechan las técnicas de recopilación de datos; si bien las empresas pueden usar esto para servir mejor a sus clientes, los piratas informáticos también pueden extraerlo.

Un buen generador de códigos QR mantendrá tus datos bajo llave. Debe cumplir el GDPR, el estándar europeo, que aplica la protección de datos más segura del mundo, con severas sanciones para disuadir a cualquier posible malhechor.

Transparencia con seguimiento de datos

También es esencial establecer una idea clara y transparente de la información que rastrearán los códigos QR de un generador.

A medida que las empresas confían cada vez más en el análisis de datos, es importante nunca sacrificar la seguridad del cliente en aras de información potencialmente rentable.

Un equipo de soporte de ciberseguridad 24 horas al día, 7 días a la semana

Los elementos maliciosos en Internet no se toman días libres. Por lo tanto, si terminó comprometiendo tus datos o enfrentando cualquier otro problema, debes trabajar lo más rápido posible para controlar los daños.

Es necesario ofrecer un equipo de soporte las 24 horas del día, los 7 días de la semana, capacitado para responder rápidamente y brindar orientación a empresas, gobiernos, instituciones o personas que informan actividades sospechosas.

Un sistema de respaldo robusto

En emergencias, como una filtración de datos, un proveedor de códigos QR debe mantener un sistema de copias de seguridad infalible.

Entonces, ¿puedo usar códigos QR con seguridad?

¡Absolutamente! Los códigos QR siguen siendo increíblemente populares en todo el mundo: en China, una gran proporción de los pagos que se realizan a través del móvil cada año pasaba por un código QR en varias aplicaciones.

No solo son seguros de usar, sino que también hay muchos casos en los que los códigos QR son una medida de seguridad adicional. Algunos sitios web, como los sitios de banca en línea, utilizan códigos QR como parte de la autenticación de dos factores. Después de que los clientes inicien sesión en sus cuentas, es posible que reciban un mensaje para escanear un código QR utilizando sus aplicaciones de banca móvil para una verificación adicional.

Al final del día, la tecnología de códigos QR en sí misma no tiene problemas de seguridad. Mientras permanezcas inteligente y atento al usar Internet, los códigos QR son perfectamente seguros. Para los especialistas en marketing, los códigos QR son una herramienta conveniente y valiosa para enviar a los clientes a las páginas de destino de las campañas, recopilar datos y lanzar promociones, especialmente cuando se usan de manera creativa.