Códigos QR, presupuestos del Estado y vectores de ataque
Fue el protagonista de todos los informativos del pasado día 3 de abril: el código QR con el que el Ministro de Hacienda y Administraciones Públicas, Cristóbal Montoro, se paseó por todas las cadenas de televisión y webs que se hicieron eco de la presentación de los Presupuestos Generales del Estado para 2012.
Este tipo de códigos no son ninguna novedad, puesto que datan de 1994 y son una evolución del clásico código de barras. No obstante, muchos usuarios desconocían hasta ayer su existencia a pesar de que cada vez son más usados en todo tipo de campañas de marketing.
También hay que recordar que no es lo mismo un código BIDI que uno QR, puesto que el primero es de código cerrado y no lo puede generar cualquier usuario, mientras que el segundo, además de poder almacenar más información, es de código abierto y cualquiera puede generar uno de forma sencilla. Es esta facilidad para poder generar códigos QR la que también permite que hayamos visto cada vez más casos en los que este tipo de códigos se han utilizado como vector de ataque para dirigir a los usuarios a un sitio web malicioso.
Imaginemos por un momento que el código usado por el ministro Montoro hubiese sido modificado para redirigir a un enlace malicioso, bien en origen o en una de las múltiples fotografías que se tomaron y luego se distribuyeron a todos los medios de comunicación. El impacto hubiera sido enorme, puesto que el número de víctimas potenciales es elevado por la expectación que generó la noticia.
El principal grupo al que van dirigidos estos códigos QR son los usuarios de dispositivos móviles, usuarios que, muchas veces, ignoran algunas medidas de seguridad elementales. La falta de concienciación al respecto de la existencia de amenazas para móviles aún juega en nuestra contra cuando manejamos uno de estos dispositivos, y eso lo saben bien los ciberdelincuentes. Por ello, ahora que los códigos QR han sido presentados al gran público en España, debemos concienciarnos de que, además de ser una gran herramienta de marketing, también pueden ser usados en nuestra contra.
Desde el laboratorio de ESET en Ontinet.com recordamos que las mismas medidas de seguridad que aplicamos cuando pulsamos un enlace sospechoso en nuestro ordenador deben aplicarse a los códigos QR en nuestros dispositivos móviles, empezando por tener cuidado con aquellos que no provengan de fuentes confiables”.
Josep Albors, director del laboratorio de Ontinet.com