Los códigos QR pueden parecer inofensivos, pero son más riesgosos de lo que piensas.
Los códigos QR son populares porque los dispositivos digitales los pueden leer rápidamente y hacen que muchas cosas sean más prácticas. Puede navegar por sitios web, descargar archivos e incluso conectarse a redes Wi-Fi escaneando un código QR.
Pero, desafortunadamente, el uso de códigos QR también presenta posibles problemas de seguridad.
¿Cuáles son los peligros de los códigos QR?
Alguien puede usar códigos QR para atacar tanto la interacción humana como los sistemas automatizados. Para tomar precauciones, considere algunos ejemplos.
Ataque de inyección SQL
SQL Injection es un vector de ataque que los piratas informáticos utilizan para atacar aplicaciones basadas en bases de datos. Con este método, pretenden robar los datos de una base de datos.
Para abordar esto desde la perspectiva del código QR, imagine un escenario en el que el software de decodificación QR se conecta a una base de datos y utiliza la información del código QR para ejecutar una consulta. También, hay un
Vulnerabilidad de inyección SQL. En tal escenario, el lector de códigos QR puede ejecutar su consulta sin verificar si proviene de una fuente autenticada. Por lo tanto, el pirata informático puede robar la información en la base de datos.Esto no es tan difícil ni tan complicado como parece. Cuando escanea un código QR, se muestra un enlace en el lector de códigos QR. Al modificar los parámetros de la URL, es posible realizar ataques como la inyección de SQL. La URL a la que te redirige el escáner de códigos QR puede, por supuesto, permitirte llevar a cabo dicho vector de ataque.
Inyección de comandos
En el método de inyección de comandos, un atacante puede inyectar un código HTML que modifica el contenido de una página. Cada vez que el usuario visita la página modificada, el navegador web interpreta el código, lo que resulta en la ejecución de comandos maliciosos en el dispositivo donde el usuario escanea el código QR. En otras palabras, esta es una situación en la que la entrada del código QR se usa como un parámetro de línea de comandos.
En tal caso, un atacante puede simplemente aprovechar la situación alterando el código QR y ejecutando comandos arbitrarios en la máquina. Un atacante puede usar este método para implementar rootkits, spyware y ataques DoS, así como conectarse a una máquina distante y obtener acceso a los recursos del sistema.
Ingeniería social
La ingeniería social es el nombre general para manipular a las personas para obtener acceso no autorizado a su información confidencial. Los piratas informáticos utilizan este método para robar su información o entrar en un sistema. El phishing es una de las tácticas más comúnmente utilizado.
Con el phishing, las personas objetivo se ven obligadas a hacer clic o visitar sitios web falsos. Los códigos QR son realmente útiles para este trabajo porque un usuario no puede entender a qué sitio ir mirando el código QR.
Imagine iniciar sesión en un sitio que se parece a un sitio como Twitter y tiene una URL similar. Si ingresa su información de inicio de sesión aquí, confundiéndola con Twitter, puede perder su cuenta ante un hacker.
Cómo evitar códigos QR inseguros
Al principio de las medidas que se pueden tomar frente a los ataques que realizan los hackers con códigos QR, la persona, que es el eslabón más débil de la cadena de seguridad, es lo primero. En otras palabras, un usuario debe tener más cuidado con los ataques de ingeniería social y no debe escanear códigos QR cuya fuente sea desconocida. Dado que las personas no pueden leer los códigos QR, puede ser difícil saber en cuál confiar. Es por eso que debe usar lectores de códigos QR seguros.
Mantén actualizado el sistema operativo de tu dispositivo móvil y utiliza una aplicación para leer códigos QR de forma segura. Muchos dispositivos móviles modernos vienen con un lector de códigos QR incorporado en sus cámaras. Sin embargo, tener una aplicación de código QR en el dispositivo móvil que permite a los usuarios verificar la URL antes de visitarla les brinda la posibilidad de verificar la fuente de la URL a la que están a punto de acceder. Este control de seguridad no es posible para los códigos QR que no proporcionan ninguna información adjunta. Por lo tanto, todas las aplicaciones de lectores de códigos QR deben mostrar la URL descodificada al usuario antes de abrir el enlace y solicitar su confirmación.
Investigue el software de generación de códigos QR
Validando el generador de un código QR y probar la integridad de los datos servirá como medida contra posibles ataques de fraude, inyección SQL y inyección de comandos. Es importante estandarizar e integrar las firmas digitales para la autenticación del código QR y verificar si el código QR ha sido alterado o no. Las firmas digitales complican significativamente los ataques basados en códigos QR, ya que requieren que el atacante modifique la suma de verificación y, por lo tanto, altere el proceso de verificación.
No debe confiar en los numerosos generadores de códigos QR que puede encontrar en Internet. Preste atención a la tecnología y la empresa detrás de estos generadores.
Cuidado con las URL no seguras
Redirigir a los visitantes a direcciones URL que no son de confianza es uno de los ataques de código QR más populares, lo que puede provocar intentos de phishing y la transmisión de software malicioso, como virus, gusanos y troyanos. Para asegurar la confiabilidad del material en línea contra tales ataques, es fundamental validar el la legitimidad del contenido al determinar si el programa lector de códigos QR puede diferenciar entre falso y genuino URL.
Cuidado con los códigos ejecutables
Para evitar que los códigos ejecutables o los comandos escaneados por un código QR accedan a los recursos del dispositivo de escaneo, es necesario aislar el contenido del código QR. Aislar el contenido puede ayudar a prevenir ataques como violaciones de la privacidad, acceso a información personal y uso del dispositivo de escaneo para ataques como DDoS y Botnets. El método más simple es bloquear el acceso de las aplicaciones, incluidas las aplicaciones de escaneo de códigos QR, a los recursos del dispositivo de escaneo (como una cámara, agenda telefónica, fotos, información de ubicación, etc.).
Use códigos QR, pero con cuidado
Con la rápida expansión de la tecnología, los códigos QR se han convertido en parte de nuestra vida cotidiana. Puede reducir los riesgos relacionados con los códigos QR usándolos con prudencia y tomando medidas.
Tenga cuidado al escanear códigos QR encontrados en Internet o en entornos reales. Utilice programas acreditados y mantenga sus dispositivos protegidos con un software antivirus actualizado. También es una buena idea no escanear códigos QR de sitios sospechosos o no confiables y no dar información personal.