Etiqueta

QRshing

Navegando

Se conoce como QRshing a la técnica de ingeniería social que emplea los códigos QR para lograr que la víctima, mediante el escaneo de este código, pueda ser engañada. Al accionar el código la víctima es conducida a una página web falsa donde el ciberdelincuente puede ejecutar un sinnúmero de ataques como extraer información confidencial o instalar códigos maliciosos en el dispositivo, entre otros; se trata de una modalidad relativamente nueva de phishing.

Si tuviste la curiosidad de investigar el primer código QR presentado en este artículo te habrás dado cuenta de que contiene simplemente un texto, que representa el resumen de los que estas a punto de leer. Los códigos QR han ganado gran popularidad y notoriedad con la automatización de prácticamente todos los servicios que actualmente consumimos en nuestro diario transitar por este mundo cada vez más digital.

Una historia “Made in Japan

Las historias detrás de los grandes inventos pueden tener orígenes muy interesantes, de hecho, muchas de las invenciones de la humanidad han ocurrido por “accidente” o simplemente han surgido de los lugares más inesperados. El hombre en su afán por facilitar su mundo y la forma en que trabaja produce grandes ideas que con el paso del tiempo se van transformado en cosas cotidianas que muchas veces damos por sentadas, olvidando sus verdaderos orígenes.

Pues por extraño que parezca los códigos QR son “Made in Japan”, el creador del código QR es en realidad la empresa Denso Wave, un fabricante de componentes para automóviles subsidiaria del grupo Toyota con sede en Aichi, Japón. Y, de hecho, el invento se desarrolló hace más de 25 años.

Todo comenzó como el juego de “Igo”

Cuenta la historia que la empresa Denso usaba códigos de barra para controlar el inventario y manejo de las piezas que producían. Este sistema era ineficiente ya que era necesario manejar entre ocho y diez códigos diferentes en cada caja o empaque de producto debido a la limitación de información que podía utilizarse en cada código de barra tradicional. 

El manejo de varios códigos de barra estándar generaba muchos errores e incrementos de tiempo al tener que escanear una caja múltiples veces para alimentar los sistemas informáticos con la información adecuada. Esta situación los llevó a idear un mecanismo que les permitiera agrupar todos esos códigos en un solo bloque para que con tan solo un escaneo permitiera transmitir un mayor volumen de información, naciendo así el código QR.

Un código QR se caracteriza por tener un patrón bidimensional de puntos cuadrados en blanco y negro alineados vertical y horizontalmente. Con este patrón es posible almacenar 200 veces más información que con un código de barras estándar.

La invención del código QR se le atribuye al japonés Masahiro Hara, ingeniero jefe de Denso Wave, cuando las personas le preguntan de donde saco la brillante idea él sonríe y cuenta:

“Solía jugar al igo en mi hora del almuerzo. Un día, al disponer las piezas en blanco y negro sobre la cuadrícula del tablero, me di cuenta de que era un modo muy fácil de transmitir información. Fue como una revelación”.

Un código milenario

Por increíble que parezca le debemos el código QR al juego de mesa “igo” también conocido como “go”, el cual se originó hace más de 4000 años, considerado una de las cuatro artes esenciales de la antigüedad en China. El go se juega en una cuadrícula de líneas negras (usualmente de 19×19). Las fichas, llamadas piedras blancas y negras, se juegan en las intersecciones de las líneas (para más detalles escanea el código anterior).

La empresa Denso Wave tuvo la “cortesía” de liberar la patente de su invención para incentivar el desarrollo, distribución y adopción de esta nueva tecnología por múltiples industrias en todo el planeta.

Más espacio da lugar a más peligro: QRshing

Con más espacio para almacenar mayor volumen de información crecen los riesgos, dependiendo de la versión, el nivel de corrección de errores y el tipo de datos, se puede almacenar como máximo la siguiente cantidad de información:

  • Datos numéricos: 7089 caracteres.
  • Información alfanumérica: 4296 caracteres.
  • Datos binarios: (8 bits/carácter): 2953 bytes.
  • Información en Kanji (sinogramas del idioma japonés) o Kana (silabarios japoneses) (13 bits/carácter): 1817 caracteres.

Sin embargo, además de permitir almacenar información valiosa, también sirve para almacenar muchos caracteres que pueden ser utilizados con diversas técnicas para comprometer nuestros dispositivos y nuestra información.

Otros usos de los códigos QR con fines delictivos

Los códigos QR por sí solos no representan peligro, es su uso indiscriminado e irresponsable, así como su aparente inocencia lo que lo hace realmente peligroso. Se trata de una simple imagen que hace que nuestros dispositivos interpreten y “lean” cierta información y es esto lo que confiere su carácter peligroso.

En términos sencillos es como si le diéramos nuestro dispositivo al delincuente para que este escriba lo que desea en nuestro equipo. El peligro se debe a que la mayoría de las personas no prestan la debida atención permitiendo, sin querer, acceder a páginas maliciosas, instalar softwares no autorizados, descargar archivos maliciosos entre otras muchas formas de ataque digital.

Lo que al comienzo se presenta como una acción controlada para la contratación de un servicio, la compra de un producto o simplemente la obtención de información puede combinarse con otras modalidades de ataque como el phishing para que ejecutemos acciones que pueden o no ser en nuestro mejor interés.

El QRshing la adaptación de los delincuentes al entorno

Los códigos QR siguen proliferando y es mi percepción que su uso y exposición en diferentes áreas y negocios seguirá aumentando, es decir, han llegado para quedarse. Hoy en día es común observar códigos QR en prácticamente cualquier sitio, por ejemplo, una entrada a un cine, para la validación de documentos oficiales, títulos universitarios, licencias, identificaciones personales, desde un pasaje de avión hasta las vacunas COVID y certificados de salud de entes o laboratorios oficiales.

Como siempre comento los delincuentes evolucionan, se adaptan al entorno.  Ellos también han tenido su transformación digital, se van adaptando y adoptando nuevas tecnologías, en especial estos nuevos desarrollos tecnológicos, como parte de sus estrategias para delinquir, como es el caso del QRshing.

Combinan múltiples formas de ataque con un único fin, comprometer nuestros dispositivos y tener acceso a nuestra información o peor aún llegar incluso a controlar nuestros equipos a distancia.

La pandemia y el “no contacto” como un gran catalizador

La pandemia ha sido el gran catalizador para el uso cotidiano de los códigos QR, ahora vemos bajo el lema de “no contacto” cómo prácticamente todos los establecimientos de comida, restaurantes, hoteles usan los códigos QR para comunicar (transmitir) a los dispositivos de sus clientes información sobre sus productos y servicios.

Los delincuentes sólo deben hacer algo tan simple como colocar sus propios códigos QR ya sea, sobre los originales o genuinos de los comercios o simplemente presentarlos vía online, a través de páginas web, imágenes comerciales etc., para invitar a sus víctimas a escanear estos códigos con un sinnúmero de opciones de ataque. Es esta técnica de pishing (suplantación) la que recibe el nombre de QRshing.

 

Cuidado donde apuntas tu cámara evita el QRshing

¿Y entonces que hacemos? ¿Dejamos de hacer uso de este servicio tan útil?

La respuesta es similar a si nos preguntaran si debemos dejar de usar el correo electrónico o la internet por ser peligrosos.

Por supuesto que la respuesta es no, la invitación de este artículo es en primer lugar a crear consciencia sobre los riesgos y peligros que implican los códigos QR. Al igual que el correo electrónico o la misma internet el peligro se manifiesta en la falta de conocimiento sobre su funcionamiento y uso irresponsable.

En segundo lugar, debemos ser prudentes a la hora de apuntar las cámaras de nuestros dispositivos móviles para escanear la inmensa cantidad de códigos QR que se encuentran ahora por doquier.

Recomendaciones finales para no morir en el intento

Para finalizar les dejo algunas recomendaciones para aquellos que desean utilizar esta nueva tecnología de una forma segura:

  1. Mantén todos tus dispositivos móviles actualizados con la última versión disponible de su sistema operativo.
  2. Siempre es recomendable instalar un antivirus en tu teléfono o tableta.
  3. Evita acceder a sitios web, enlaces y aplicaciones que no conozcas.
  4. Si tienes un negocio que usa códigos QR, revisa frecuentemente los mismos para comprobar que no han sido alterados, suplantados o modificados, a fin de mantener seguros a tus clientes.
  5. No publiques códigos QR de uso personal en redes sociales como, por ejemplo, boletos aéreos o servicios de transporte, ello podría facilitar el acceso a información reservada a terceras personas pudiendo convertirte en víctima de un fraude.
  6. No es común que la dirección url de los códigos QR aparezca acortada, esto puede ser señal de una alteración de este, por ello revisa bien las direcciones url y ante la duda, accede mediante tu navegador a la web oficial de la empresa o establecimiento que presta el servicio.
  7. Debes asegurarte de que, en volantes, carteles, menús, cartas, o cualquier otro documento no ha sido modificados o manipulados los códigos QR, mediante la colocación superpuesta de otro código encima del original.
    En síntesis, cuestiona todo lo que no puedas verificar a ciencia cierta y convierte en un usuario experto y entrenado a la hora de utilizar los códigos QR.

    Juan Carlos Paris