Qrishing: El uso de códigos QR ha ampliado la superficie de ciberataques

En enero de este año, el FBI generó una alerta (I-011822-PSA) relacionada con la utilización de códigos QR por parte de los ciberdelincuentes, dirigiendo los escaneos de estos códigos a sitios maliciosos para robar datos de las víctimas, incorporando malware para obtener acceso al dispositivo de la víctima y redirigiendo el pago para uso de los ciberdelincuentes.

Un código QR se puede incrustar fácilmente en cualquier lugar donde se pueda colocar una imagen: en el cuerpo de un correo electrónico, como archivo adjunto, impreso en una etiqueta o en un sitio web. Y al igual que una URL maliciosa, están diseñados para mezclarse y no hacer que un usuario desprevenido lo piense dos veces antes de escanearlo.

Los ciberdelincuentes manipulan los códigos QR digitales y físicos para reemplazar los códigos legítimos con códigos maliciosos. Una víctima escanea lo que cree que es un código legítimo, pero el código manipulado dirige a las víctimas a un sitio malicioso, lo que les solicita que ingresen información financiera y de inicio de sesión. El acceso a esta información de la víctima le da al ciberdelincuente la posibilidad de robar fondos a través de las cuentas de las víctimas.

Qrishing: phishing de los códigos QR

El término QRishing deriva de Pishing, como se conoce a la técnica de phishing para estafas en la web. En este caso se trata de una suplantación de identidad, pero utilizando como canal los útiles códigos QR. 

Muchas aplicaciones que usan códigos QR no muestran específicamente la URL destino, especialmente cuando se usan pasarelas de pago. Al intentar abrir sitios, generalmente mostraría el hipervínculo, pero en las técnicas de qrishing, ¿los ciberdelincuentes usan acortadores de URL para ocultar el enlace final. Además, es posible que la URL que se muestra al escanear un código QR con un dispositivo móvil no se muestre completamente en el navegador móvil.

Es importante tener en cuenta que los navegadores móviles, ya sean iPhone o teléfonos Android, no emplean las mismas técnicas de navegación segura que los navegadores de escritorio, lo que hace que el riesgo sea mayor.

¿CUÁLES SON LOS RIESGOS?

Generalmente vulnerar un código QR real requiere cambiar los puntos pixelados en la matriz del código o simplemente incrustar software malicioso en códigos QR (que pueden generarse con herramientas gratuitas ampliamente disponibles en Internet). Para un usuario promedio, todos estos códigos tienen el mismo aspecto, pero un código QR malicioso puede dirigir al usuario a un sitio web falso, capturar datos personales o instalar software malicioso en un teléfono inteligente que inicia acciones como esta: 

  • Agregar una nueva lista de contactos en el teléfono del usuario y usarla para lanzar un ataque de phishing u otro ataque personalizado.
  • Iniciar una llamada telefónica para así exponer el número de teléfono a un mal actor.
  • Enviar un mensaje de texto a un destinatario malicioso o recibir un mensaje de texto malicioso de un estafador. 
  • Redactar un correo electrónico y completar el destinatario y las líneas de asunto. Los piratas informáticos podrían apuntar al correo electrónico del trabajo del usuario si el dispositivo carece de protección contra amenazas móviles.
  • Realizar un pago y capturar los datos financieros personales del usuario. 
  • Revelar la ubicación geográfica del usuario y enviar estos datos a una aplicación o sitio web. 
  • Las cuentas de redes sociales del usuario pueden ser dirigidas para seguir una cuenta maliciosa, que luego puede exponer la información personal y los contactos del usuario. 
  • Agregar una red Wi-Fi comprometida a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red. 

MÉTODOS COMUNES DE QRISHING

QRishing utiliza cebos de ingeniería social para hacer que las víctimas potenciales escaneen el código. 

Para el mismo se han utilizado los siguientes métodos:

  1. Pegar un código QR malicioso encima de un código QR genuino: esto se observó por primera vez en bancos donde las personas estarían muy seguras de escanear el código QR y también deben estar en uso en otros lugares. La razón para creer en la autenticidad del código es la ubicación en la que se ha colocado. P.ej. Si un usuario se encuentra dentro de un banco de renombre o una oficina gubernamental, hay muchas posibilidades de que confíe en cualquier código QR en las instalaciones debido a la confianza en la marca. En tal situación, los ciberdelincuentes pegan el código QR malicioso sobre el genuino.
  2. Cambiar los detalles de la empresa sobre el código QR : para engañar a los usuarios haciéndoles creer que estarían escaneando un código QR genuino, el pirata informático usaría el código QR en un cartel que menciona una marca genuina. P.ej. Una pancarta, folleto o cartel en la calle que mencione un banco de renombre pediría a los usuarios escanear el código QR en él. El código QR sería, a su vez, un intento de phishing que la víctima podría no reconocer.
  3. Uso de códigos QR como vales de descuento : a la gente le encantan los descuentos y los ciberdelincuentes lo saben muy bien. El uso de códigos QR para generar un cupón de descuento para marcas líderes en línea como Amazon se usa mucho para QRishing. Más bien, un informe sobre problemas de seguridad QR muestra que es mucho más probable que los usuarios abran códigos QR que ofrecen descuentos.

¿CÓMO PROTEGERSE?


Como organización, es importante asegurarse de que los empleados estén capacitados para cuestionar los códigos QR antes de escanearlos es clave para prevenir estos ataques. En general, cualquier código QR en un correo electrónico, por ejemplo, debe considerarse sospechoso.

Un conjunto sólido de soluciones de seguridad de varias capas resistirá muchos tipos de amenazas cibernéticas, pero, como siempre, los usuarios finales son la última línea de defensa contra los ataques. La capacitación de concientización comienza enseñando a los usuarios finales que los códigos QR se pueden usar en estafas de phishing y luego les brinda las habilidades para identificar e informar cualquier cosa sospechosa a sus equipos de seguridad y TI. Esos equipos pueden ser fundamentales en la mitigación y recuperación tempranas, antes de que un problema se generalice.

En este mismo sentido, existen recomendaciones generales tales como:

  1. Cuidado con los códigos QR en superficies físicas: el peor tipo de ataques QRishing se realiza pegando un código QR malicioso en uno genuino. Una mirada cuidadosa podría ayudar a descubrirlo.
  2. No abra URL acortadas: se recomienda verificar una URL acortada expandiéndola usando algunas herramientas. Pero eso no siempre es posible cuando se usa un navegador móvil. Más bien, las URL que muestran los códigos QR en un navegador móvil generalmente no están completas. Es mejor evitar abrirlos.
  3. Tenga cuidado antes de ingresar sus credenciales: siempre debe ingresar las credenciales en un sitio seguro, cuya dirección web comience con ‘https://’. Nunca lo hagas con enlaces aleatorios a los que te dirijan a través de códigos QR.
  4. Instale aplicaciones de seguridad en su dispositivo móvil : los navegadores móviles aún no han aplicado listas negras y otras medidas de seguridad como los navegadores de escritorio. Ciertas aplicaciones de seguridad permiten mejorar la seguridad cuando queremos acceder o descargar la información de un código QR: en estas apps, tras escanear el QR se abre una pestaña que permite observar el link completo antes de acceder en el URL.
  5. Evite los códigos QR : a pesar de que los códigos QR son una de las opciones más cómodas, es mejor evitar su uso hasta que se haya investigado lo suficiente para que sean seguros para el uso público.