Tanto el comercio electrónico y las transacciones bancarias, así como las aplicaciones corporativas, son parte del diario vivir de muchas personas a través de los teléfonos inteligentes o smartphones. Pero junto con ello, también están presentes una serie de riesgos compuestos por las más recientes técnicas de ataques informáticos.
Nos referimos específicamente a los ataques asociados a los códigos QR, y que hoy en día están siendo incorporados por muchas empresas de consumo masivo, ya que permiten una interacción directa e inmediata entre el consumidor y el producto. Esta innovación está generando una nueva tendencia en cuanto a marketing directo, promociones, programas de fidelización de clientes y diversas aplicaciones.
Los códigos QR (por sus siglas en inglés: Quick Response Barcode) corresponden a un sistema para almacenar información en una matriz de puntos o un código de barras bidimensional, que permite acceder a información de algún producto o servicio en particular, con la ventaja de que pueden ser leídos fácilmente por los smartphones a través de la cámara incorporada en estos dispositivos.
Sin embargo estos son muy simples de generar y, en teoría, cualquiera podría crearlos con el software adecuado, lo cual hace que diseñar códigos maliciosos sea sencillo y de bajo costo.
Esto no sería tan relevante si no estuviéramos hablando de un tipo de ataque que requiere de apenas un smartphone para funcionar; tipo de producto que ha pasado a ser el dispositivo móvil por excelencia.
Según proyecciones de IDC, para 2015 se espera que en el mundo operen más de mil millones de smartphones. Mientras que en Chile, la Subsecretaría de Telecomunicaciones (Subtel) ha informado que existen 21 millones de teléfonos celulares activos en el país, de entre los cuales la empresa investigadora de mercado Collect GFK, indica que el 30% son “inteligentes”.
Muchos objetivos, facilidad de generar los códigos, bajo costo y acceso expedito a las tecnologías móviles se transforman en una mezcla perfecta para un ataque informático.
Una de las posibilidades que ofrecen los códigos QR es que contienen información sobre páginas web y direcciones en Internet, que pueden ser leídas automáticamente por los smartphones, es decir, que cuando leemos el código de un producto utilizando el teléfono veremos que el navegador puede dirigirse al sitio que la marca codificó, y de esta manera acceder a promociones, descuentos o cualquier otra actividad de marketing totalmente lícita.
Sin embargo, este mismo mecanismo es aprovechado por los atacantes, con la diferencia de que el objetivo es que el código contenga direcciones accesibles desde Internet, que instalan código malicioso en el smartphone, también de forma automática.
A partir del momento en que el código malicioso se almacena y ejecuta en el teléfono, las posibilidades para los atacantes son ilimitadas. Desde el robo de la información contenida en el teléfono (e-mails corporativos y personales, archivos, contactos de agenda, etcétera), hasta el control del dispositivo.
Cuando algunos prevén que el smartphone cumplirá las mismas funciones que la tarjeta de crédito en un futuro no muy lejano, y mientras hoy en día ya está ampliamente difundido el uso de estos teléfonos inteligentes para almacenar información corporativa sensible y realizar múltiples tipos de transacciones que involucran movimiento de dinero, es de fundamental importancia ser conscientes de la criticidad que trae aparejado el uso de estos dispositivos.
¿Cómo protegerse?
Ante este escenario Miguel Cisterna, especialista en seguridad de Level 3, otorga una serie de recomendaciones:
1.- Nunca utilice software ilegal y verifique siempre el origen y la autenticidad de las aplicaciones antes de descargarlas en su teléfono.
2.- No escanee códigos de procedencia dudosa.
3.- Active las conexiones a redes en el teléfono sólo cuando vaya a usarlas, nunca las mantenga abiertas cuando no las está utilizando, especialmente las que permiten acceso a tecnologías Bluetooth y WI-FI.
4.- Realice una copia de seguridad con toda la información que posea en el teléfono, será útil en caso de extravío, robo o incluso falla técnica.
5.- En el ámbito corporativo, se podría incluir la encriptación de datos y el uso de software de protección como antivirus para smartphones.
6.- Usar software para escanear los QR bars, que permita previsualizar la URL (dirección web), hacia la cual el código direcciona. De esta forma, se puede ver si la URL guarda alguna relación con la promoción o con la información por la que fue sugerido el escaneo del QR bar. En caso de que un link aparezca “acortado” no lo acceda.
7.- Evitar escanear QR bars que se encuentren pegados (stickers) en revistas o publicidad exterior, superpuestas a las originales o pegadas en las paredes.
8.- Sea extremadamente cauteloso si su smarthphone posee sistema operativo Android, ya que es el objetivo perfecto para los hackers. Al tratarse de código abierto, es más fácil analizar sus vulnerabilidades y generar aplicaciones que puedan ser introducidas a través de los QR bars (la mayoría de los aplicativos maliciosos que se propagan son diseñados para Android).
