¡Cuidado! Códigos QR

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

A estas alturas todos conocemos ya los códigos QR. Son estas imágenes rectangulares que parecen un criptograma y que podemos ver en pancartas publicitarias, dentro de folletos de publicidad, revistas, en las cajas de productos del super, etc. La intención inicial de los Códigos QR fue utilizarlos para inventariar los repuestos de almacén de forma rápida (Quick Response Codes) pero su uso se ha extendido hasta que podríamos considerar que es una forma de ‘realidad aumentada’.

Estos códigos bidimensionales se utilizan para almacenar información que puede contener desde una URL de una web hasta una tarjeta de visita, con una capacidad máxima de almacenamiento de 4.296 caracteres que se ven reducidos según el nivel de corrección de errores que se quiera incorporar en la imagen. De esta forma podemos enlazar a la descarga de un mp3, instalar una aplicación, enviar un correo electrónico, obtener información, marcar un número de teléfono, e incluso realizar pagos. Para casi todas estas acciones será preciso disponer de conexión a Internet.

El éxito de este tipo de código puede residir en que hoy en día todos los teléfonos inteligentes, con cámara, pueden disponer de un programa que lea este tipo de códigos bidimensionales y además, se trata de un código abierto cuyos derechos de patente no son ejercidos por Denso Wave.

Se han utilizado en campañas publicitarias que han causado cierto revuelo. Recientemente, en los juegos olímpicos de Londres, el equipo de beach volley británico llevaba uno de estos QR en la parte posterior del bikini; este código QR enlazaba con la página web del patrocinador. A Calvin Klein le censuraron ciertos anuncios por considerarlos de contenido explícito no apropiado, así que retiró las imágenes y las sustituyó por códigos QR que enlazaban a su visualización en Internet. Hay incluso quien parece que se quedó sin palabras y en la lápida del difunto solo le dejaron un código QR.

En fin, hasta ahora todo más o menos normal, pero como cualquier nueva tecnología que tenga cierto auge, también puede ser objeto de abuso, y los códigos QR no iban a ser menos.

  • El principal problema de esta tecnología es que no ‘vemos’ el contenido de la información codificada y ocurre algo similar al problema de los acortadores de URL que de entrada no sabemos a dónde nos pueden llevar. Este problema se acrecienta en los dispositivos móviles puesto que con una pantalla reducida, no se ve completamente la URL a la que se está accediendo y si la URL es muy larga solo veremos el último tramo sin saber realmente el dominio donde reside. De esta forma no sería difícil ser objeto de un phishing o que desde una página web maliciosa nos intenten explotar alguna vulnerabilidad en nuestro navegador o sus complementos, para inyectar un malware.
  • Adicionalmente, si el código QR enlaza con la descarga de una aplicación, podemos acabar instalando una aplicación modificada en vez de incorporar la aplicación original de forma que tenga asociado un malware o que esté configurada para enviar SMS premium (con coste).
  • Por último, un nuevo problema que podemos tener si disponemos de un terminal Android, es que se bloquee tras escanear un código QR (o incluso que se borre por completo el terminal). Para esto, bastaría con incluir un código USSD en la información del QR que envíe repetidas veces un PUK erróneo (o el PIN, pero este caso sería menos dañino).

Ante todos estos problemas hay ciertas salvaguardas, pero la principal herramienta de que disponemos es el sentido común y seguir unas buenas prácticas. Si no nos hace falta escanear cierto código, no lo hagamos y lo hacemos, seamos conscientes de la fuente de la información. No sería difícil pensar en un escenario en el que un atacante disponga folletos de publicidad con el código QR suplantado por uno falso para que los empleados de cierta oficina descarguen un APT (¡Cuidado! Aquí tendremos implicaciones relacionadas con BYOD). Algunas de las posibles medidas son:

  • Toda aplicación que descarguemos en el dispositivo, debe venir de una fuente fiable y resulta conveniente disponer de un antivirus que nos proteja del malware. También es recomendable utilizar la aplicación de Virustotal que permite analizar todas las aplicaciones que tengamos instaladas contra los más de 40 antivirus de que dispone la plataforma.
  • Respecto de las URL no visibles, es interesante que el programa de escaneo de códigos QR no acceda directamente a la URL decodificada sino que nos indique si queremos acceder a ella mostrando previamente el destino en Internet. Esto dependerá de la funcionalidad de la aplicación QR que utilicemos.
  • El problema de los códigos USSD en Android se ha solucionado a partir de la versión 4.1.1 de forma que si nuestro teléfono tiene una versión anterior, deberíamos actualizarlo cuanto antes. También se han publicado varias aplicaciones que evitan la ejecución directa de estos códigos de teléfonos móviles.

Difícilmente vamos a poder evitar los códigos bidimensionales, ya sean datamatrix, tag barcode, bocodes o códigos QR. Ahora incluso tenemos extensiones para los navegadores más populares que nos permiten analizar los códigos bidimensionales en páginas web. Así que con este entorno la única opción posible es adaptarse y esto conlleva el uso de herramientas de prevención y realizar formación y concienciación a todos los usuarios, sobretodo a los cargos directivos.

Comments

  1. Vamos que no se salvan los códigos QR de que nos metan un virus…

  2. Hola Sergio, simplemente es otra forma de interactuar con servicios en Internet y como siempre hay que ir con ojo.

Trackbacks

  1. […] La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV.  […]

  2. […] La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV.  […]