Los ataques de phishing basados en códigos QR parecen estar en aumento. Para este “nuevo” vector de piratería, alguien recibe un correo electrónico de phishing pidiéndole que escanee un código QR, ese código redirige a un enlace malicioso (generalmente para robar credenciales) y se produce una apropiación de la cuenta. Las organizaciones de noticias locales han advertido al público que tenga cuidado, las publicaciones de liderazgo en seguridad dicen a los ejecutivos que tengan cuidado y las compañías de seguridad realmente quieren que usted lo llame quishing.
Para ser justos, últimamente ha habido algunos titulares notables al respecto. Una versión a gran escala de esto contra una “importante” compañía energética estadounidense anónima persiguió los inicios de sesión de Microsoft, según un informe de Cofense de agosto. Los investigadores de seguridad han informado unánimemente de algún nivel de aumento o pico en el vector de ataque este año. Incluso la Comisión Federal de Comercio advirtió a los consumidores sobre los peligros.
Sin embargo, la fanfarria en torno a estos ataques supera en gran medida la amenaza de utilizar códigos QR en la vida diaria. El phishing ha sido, y probablemente siempre será, una forma frecuente de atrapar a las víctimas, y lo que vemos cuando la gente habla de ataques con códigos QR es simplemente otra forma de hacerlo. Es por eso que, a pesar de que los informes pueden generalizar los peligros de los códigos QR en su conjunto, algunas prácticas de seguridad de sentido común que ya utiliza para evitar el phishing también pueden ayudarle a evitar esta táctica. Otros vectores de ataque avanzados basados en QR fuera del phishing probablemente sean demasiado complicados técnicamente y de baja recompensa para que los intenten los delincuentes, o para que usted se preocupe.
Los ataques de phishing que funcionan dirigiendo a la víctima a un enlace malicioso son increíblemente comunes y los códigos QR son esencialmente otra forma de ejecutarlos. Los códigos QR están “saltando a una brecha de seguridad”, dijo Randy Pargman, director de detección de amenazas de la firma de seguridad Proofpoint. Obliga a la víctima a alejarse de su computadora y a usar un teléfono celular u otro dispositivo, agregando un nivel de distracción. Además, según Pargman, las personas tienen más probabilidades de caer en un enlace de phishing en un dispositivo móvil.
La escala más pequeña hace que sea más difícil saber qué es legítimo; por ejemplo, no se puede ver fácilmente un enlace completo para señalar discrepancias y, en general, tendemos a sentirnos más seguros en nuestro mundo portátil. Escanear un código QR en un teléfono aleja a la víctima de su computadora. Eso podría significar que tiene menos complementos de seguridad instalados en su navegador que le advertirían que se mantenga alejado de sitios sospechosos, aunque más navegadores tienen protecciones automáticas contra ambos. O, si lo lleva de un dispositivo de trabajo a uno personal, un equipo de seguridad probablemente respalde la computadora, pero no su teléfono celular, con protecciones adicionales para evitar que usted sea víctima. Pero, por otro lado, esto es mucho menos eficiente para los estafadores. Se supone que la víctima tiene acceso a dos dispositivos, en lugar de simplemente hacer clic en un enlace.
Además, la gente tiende a escanear los códigos QR, incluso si provienen de una fuente desconocida, porque estamos muy acostumbrados, según Fae Carlisle, ingeniera de seguridad principal de la empresa de ciberseguridad Carbon Black. “Regularmente se le pide a la gente que escanee un código QR para mostrarles un mapa de un lugar, que voten en un concurso, que visiten Instagram, etc.”, dijo Carlisle. «Debido a la confianza inherente, la gente la acepta». Los piratas informáticos aparentemente vieron esta tendencia y descubrieron que podían explotarla.
Si bien la aplicación de códigos QR a ataques de phishing es bastante sencilla, el revuelo en torno a su uso en otros vectores maliciosos termina ahí. Los profesionales de seguridad desaconsejan escanear códigos QR desconocidos, de la misma manera que no debes conectar una memoria USB aleatoria a tu dispositivo. Pero, si bien siempre debes estar en guardia para protegerte contra ataques de phishing, realmente no tienes que preocuparte por el uso de códigos QR en tu vida diaria porque todavía es raro verlos utilizados como táctica de piratería.
Esto es importante porque cuando pensamos en códigos QR, normalmente no pensamos en recibirlos en correos electrónicos. Probablemente esté más familiarizado con ellos por interacciones del mundo real, como un llamado a la acción en un volante o un menú escaneado para ordenar en un restaurante. Mirando mi propia bandeja de entrada y mi escritorio, los casos en los que obtengo un código QR son pocos y espaciados, tal vez con la excepción de algunas aplicaciones de autenticación multifactor y el inicio de sesión cruzado para VPN. Básicamente, para un hacker que persigue objetivos cotidianos, cuanto menos esfuerzo, mejor, y pegar un código QR envenenado por todo el espacio físico con la esperanza de que alguien lo escanee es mucho trabajo, según Pargman. El envío masivo de correos electrónicos de phishing es muchísimo más eficiente.
Si bien también es posible imaginar una situación de apropiación de enlaces, en la que el destino de códigos QR legítimos se redirige a una URL maliciosa, eso realmente no se ha visto todavía. No sólo supone un gran esfuerzo, sino que requeriría que un atacante identificara un código QR ampliamente utilizado. Eso significaría obtener la información del código y luego esperar que valga la pena el trabajo. «Quishing» puede ser legítimo, pero evitar los códigos QR a toda costa probablemente vaya demasiado lejos.
Si algo parece extraño al escanear un código QR, haga una pausa antes de continuar. «Si estás escaneando el menú de un restaurante y te pide que inicies sesión en tu cuenta de Gmail para acceder al menú, es un paso muy inesperado», dijo Olesia Klevchuk, directora de marketing de productos de la empresa de seguridad Barracuda Networks. «Ese es el tipo de cosas a las que queremos estar atentos». Pero si solo desea obtener más información sobre una exhibición en un museo o realizar un registro sin contacto en el gimnasio, probablemente no tenga nada de qué preocuparse.