Recientemente me llegaron varios artículos relacionados a los riesgos de seguridad de los códigos QR, lo cual denota que muchos portales tecnológicos se miran entre sí en busca de ideas para nuevos artículos, de hecho no os voy a engañar, yo soy al primero que le sirve como chispa para el presente artículo, en que trataré además de ir un poco más allá, hablando del problema de seguridad relacionado a la ofuscación de URLs.
Empezamos… ¿Qué es un QR?
Por si hay algún despistado, un QR es simplemente un código de barras cuadrado, que contiene información variada y que se ha popularizado de tal modo que prácticamente cualquier smartphone de hoy en día, incluye la funcionalidad nativa en la cámara de extraer la información que contienen, y si no, hay muchas aplicaciones en la tienda de Apple o Google que nos permiten acceder a esta funcionalidad.
Por ejemplo, al escanear el siguiente código QR, nos llevará a la URL del presente blog: https://ciberseguridadtotal.es.
Estos códigos que estaban en desuso, han empezado a tener un nuevo apogeo por el tema del covid-19, por ejemplo, ahora que las cartas en papel están prohibidas en bares y restaurantes, es típico encontrarnos con un código de este tipo para consultar los platos disponibles, lo mismo para carteles informativos en sitios públicos, desde museos a centros educativos.
Generar un QR es muy sencillo, en internet podremos encontrar multitud de recursos para hacerlo, muchos de ellos gratuitos, este es un ejemplo: https://www.qrcode.es/es/generador-qr-code/
Por último los usos de un QR son variados, básicamente almacena información, normalmente URLs que pueden derivar a:
- Direcciones de páginas web, redes sociales o recursos on-line.
- Datos de contacto: vcard
- Direcciones físicas: un domicilio o ubicación en el mapa
- Credenciales de acceso a una Wifi
- Texto variado
- Enlaces a aplicaciones en Play Store, Google Play…
Y prácticamente lo que se nos ocurra.
Pero, ¿cuál es el problema?
El problema es la ofuscación de la información, imaginemos que alguien pone un QR malicioso en la puerta de una cafetería, y al pincharlo nos lleva a una URL maliciosa con un malware que se nos instala en el navegador y se pone a minar criptomonedas. Hay que concienciarse que este QR puede llevarnos a realizar acciones más allá de simplemente abrir una enlace, por ejemplo nos puede dirigir a la Play Store para instalar una aplicación maliciosa en nuestro smartphone, y si no tenemos cuidado, la podemos liar parda.
Esto no quiere decir que los QR sean malos, ni mucho menos, simplemente que hay que ser precavidos, con los QR, y con otro tipo de cosas, y es aquí cuando tratamos de ir un poco más allá.
El problema de la ofuscación de URLs en general
Cuando visitamos una página web, ésta puede tener enlaces que nos lleven a sitios maliciosos, en general nunca se nos muestra la URL de destino, queda feo en cuanto a diseño, no obstante, si mantenemos el ratón encima del enlace, en la parte inferior del navegador se nos indicará dicho destino final.
Si la web no es de confianza, es bueno echar un ojo dónde nos pretende redirigir. A modo de experimento, en artículos anteriores de este blog, he dejado enlaces con la URL completa visible, con objeto de comprobar qué impresión ofrecía al visitante.
Este problema es aún peor en el correo electrónico, cada día millones de e-mails de tipo SPAM y sobre todo orientados a phishing, contienen enlaces que tratan de enviarnos a sitios maliciosos donde tratan de robar nuestros datos o instalarnos un malware. Este enlace siempre está ofuscado, y normalmente obviamos mirar el destino dónde nos lleva antes de pincharlo.
También es un problema los típicos clientes de correo electrónico, que ofuscan la dirección real del correo electrónico del remitente, mostrando el nombre completo que desea el atacante, o la cabecera impuesta por el mismo encima, lo cual puede llegar a confundir y catalogar como bueno un correo malicioso.
Otro problema son los acortadores de URLs, que permiten obtener enlaces más amigables y cortos, pero que evitan conocer el destino final antes de pulsarlos, lo cual es peligroso.
Algunas recomendaciones rápidas:
Pues en general tener cuidado, desconfiar. Si escaneas un QR en un restaurante y te lleva a instalar una app, pues ojo. Si recibes un e-mail y te lleva a una página para meter credenciales, ojo también. El sentido común, como hemos repetido innumerables veces en este blog, es el mejor arma ante intentos de estafa. Además algunas pautas muy simples son:
- Echar un ojo a la URL destino antes de dirigirnos a la misma, especialmente si estamos en un contexto que nos invita a ello.
- Siempre que sea posible, evitar el acceso a través de enlaces de correo. Qué recibimos un supuesto e-mail del banco con un enlace dentro. Es mejor evitar usar ese enlace, y acceder a la web oficial del banco directamente nosotros.
- Tener un buen antivirus, que revise y bloquee URLs maliciosas.
- Si no estamos seguros de la reputación de una URL, comprobarla en servicios como virustotal: https://www.virustotal.com/gui/home/url
- Y en general, mantenernos siempre alerta.
