Códigos QR, presupuestos del Estado y vectores de ataque

Categorias: Ingenieria social,telefonía | |

Fue el protagonista de todos los noticiarios en el día de ayer: el código QR con el que el Ministro de Hacienda y Administraciones Públicas, Cristóbal Montoro, se paseó por todas las cadenas de televisión y webs que se hicieron eco de la presentación de los Presupuestos Generales del Estado para 2012.

Este tipo de códigos no son ninguna novedad, puesto que datan de 1994 y son una evolución del clásico código de barras. No obstante, muchos usuarios desconocían hasta ayer su existencia a pesar de que cada vez son más usados en todo tipo de campañas de marketing.

También hay que recordar que no es lo mismo un código BIDI que uno QR, puesto que el primero es de código cerrado y no lo puede generar cualquier usuario, mientras que el segundo, además de poder almacenar más información, es de código abierto y cualquiera puede generar uno de forma sencilla.

qrcode

Es esta facilidad para poder generar códigos QR la que también permite que hayamos visto cada vez más casos en los que este tipo de códigos se han usado como vector de ataque para dirigir a los usuarios a un sitio web malicioso, más aun que el que alberga los Presupuestos Generales para 2012 ;)

Imaginemos por un momento que el código usado por el ministro Montoro hubiese sido modificado para redirigir a un enlace malicioso, bien en origen o en una de las múltiples fotografías que se tomaron y luego se distribuyeron a todos los medios de comunicación. El impacto hubiera sido enorme, puesto que el número de víctimas potenciales es elevado por la expectación que generó la noticia.

El principal grupo al que van dirigidos estos códigos QR son los usuarios de dispositivos móviles, usuarios que, muchas veces, ignoramos algunas medidas de seguridad elementales. La falta de concienciación al respecto de la existencia de amenazas para móviles aún juega en nuestra contra cuando manejamos uno de estos dispositivos, y eso lo saben bien los ciberdelincuentes.

Es por eso que, ahora que los códigos QR han sido presentados al gran público en España, debemos concienciarnos de que, además de ser una gran herramienta de marketing, también pueden ser usados en nuestra contra. Desde el laboratorio de ESET en Ontinet.com recordamos que las mismas medidas de seguridad que aplicamos cuando pulsamos un enlace sospechoso en nuestro ordenador deben aplicarse a los códigos QR en nuestros dispositivos móviles, empezando por tener cuidado con aquellos que no provengan de fuentes confiables.

Josep Albors
@JosepAlbors

2 Respuestas a “Códigos QR, presupuestos del Estado y vectores de ataque”

  1. El problema son los enlaces, no su transmisión a través de códigos QR | Cartel Digital Dijo:

    [...] a la nota de prensa donde se reunía toda la información necesaria al respecto. Poco después Eset advertía del peligro que podían suponer como vector de ataque. Está claro que el problema son los enlaces, no su [...]

  2. El problema son los enlaces, no su transmision a traves de codigos QR Dijo:

    [...] a la nota de prensa donde se reunía toda la información necesaria al respecto. Poco después Eset advertía del peligro que podían suponer como vector de ataque. Está claro que el problema son los enlaces, no su [...]

Comentar

Usted debe iniciar sesion para escribir un comentario.

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje