Home » Boletines » [noticias seguridad UPM] Códigos QR – 04112021

[noticias seguridad UPM] Códigos QR – 04112021

¿QUE ES UN QR Y PARA QUE SIRVE?

Los códigos QR (Quick Response) son una evolución a los códigos de barras y están estructurados en módulos bidimensionales compuestos por puntos de un alto contraste en los que se almacena información.

Un código QR nos permite acceder a páginas web, configurar una red WIFI, descargar aplicaciones a través de accesos directos, generar contraseñas de un sólo uso (OTP) para el acceso a WhatsApp web por ejemplo…

Todas estas funcionalidades son muy útiles día a día y necesarias en la situación actual debida al COVID, ya sea para ver el menú de un restaurante como para acceder a nuestro perfil de WhatsApp en el ordenador.

A pesar de todas estas utilidades, también supone un riesgo muy importante. Cualquier persona tiene a su alcance las herramientas para crear un código QR. En otras palabras, si no tenemos cuidado, cualquier atacante podría dirigirnos a su página web con phishing o mandarnos un link de descarga de una aplicación con malware.


ATAQUE TIPICO

Estamos andando por la calle y nos encontramos varios folletos y carteles anunciando una nueva pizzería. En ellos pone que se van a realizar promociones exclusivas en la apertura y que para poder verlas tenemos que escanear un código QR. 

 Hasta aquí todo correcto, no tenemos forma de saber si es verdad o mentira. 

Si nos vamos a escanear el código QR en nuestro teléfono móvil, vamos a ver que la URL hacia dónde nos dirige es:


¿COMO ACTUAR Y COMO PODEMOS PROTEGERNOS?

En el caso de que tengamos activa la apertura automática de enlaces al escanear un código QR, tenemos que deshabilitarla cuanto antes para que cuando nos encontremos en un caso como el anterior no seamos víctima de un ataque.

En caso de que no tengamos la apertura automática, muchos pulsaremos en el enlace, sin ni siquiera mirar hacía dónde nos está dirigiendo, movidos por el impulso de saber qué descuentos van a haber en esa pizzería para ir a cenar el día de la apertura. Esto es un ERROR.

Una vez escaneamos el QR, tenemos que olvidar nuestro impulso y pararnos a pensar durante 5 segundos y razonar dónde nos está dirigiendo y si esa URL es de fiar.

En este caso, nos está dirigiendo a un enlace que no tiene nada que ver con la “pizzeria di Bezos” y que, encima, pertenece a un dominio Ruso. Algo que ya nos debería hacer sospechar.

En el caso de que aún no estemos seguros de si esa URL es de fiar, como vimos en la campaña “[noticias seguridad UPM] Acortadores URL – 02062021”, en https://www.virustotal.com/gui/home/url podemos comprobar si una URL es de fiar antes de acceder a ella. Foto ejemplo de una URL maliciosa con phishing:


CONCLUSION

Los códigos QR son muy útiles, más en la situación actual en la que vivimos. Pero, después de leer un QR, tenemos que estar muy seguros de hacía donde nos está dirigiendo y comprobar la veracidad de la URL para evitar ser víctimas de un ataque.

A través de los QR podríamos dar nuestros usuarios y contraseñas a través de ataques phishing o incluso podríamos descargar una app que diera acceso a un atacante a nuestro teléfono móvil.