El investigador Denis Maslennikov de Kaspersky se ha encontrado con algunos códigos QR maliciosos que descargan troyanos para el móvil. Los QR son como códigos de barras pero con otro formato que permite almacenar más información, si quieres crear uno puedes entrar a esta página y hacerlo con un par de clics.
Desde que los móviles comenzaron a leerlos se pueden encontrar por todos lados, son una forma muy práctica de compartir información como direcciones web, teléfonos, mapas, etc. Es normal encontrarlos en sitios desde los cuales se pueden descargar juegos y aplicaciones, basta con pasar la cámara frente al código para que la descarga se inicie directamente en el celular.
Esto justamente es lo que están aprovechando los ciberdelincuentes, propagando troyanos APK y JAR que infectan el aparato para luego enviar mensajes de texto a números premium que les permiten ganar dinero.
¿Y el phishing?
Cuando leí la nota de Kaspersky me vino a la mente algo que tenía pendiente comentar, así como se puede enlazar al QR con una aplicación, se lo podría utilizar para realizar ataques de phishing.
Para probarlo monté una página falsa de Hotmail, generé un código QR y accedí desde mi iPhone, el resultado fue el siguiente:
Como se puede ver en la captura, la página que se cargó parece ser legítima más allá de que para bromear le puse «SpamLoco Live». Lo que me interesa resaltar es que la URL de la página no aparece y de esta forma cualquiera podría caer en la trampa, ingresando sus datos sin saber que está en una página falsa.
Esto sucede porque estoy utilizando un lector de códigos QR que viene con un browser integrado y no abre las páginas directamente en Safari, donde se podría ver la URL real. Una aplicación para leer códigos QR que sí abre las páginas en Safari es i-nigma (recomendada).
Sin embargo, este comportamiento del browser integrado es algo normal en muchas aplicaciones como por ejemplo la oficial de Twitter, cuando abro enlaces publicados en twitts, además de ser enlaces cortos, tampoco veo las URLs finales y eso es bastante peligroso si luego se ingresan datos personales:
Esto me sucede en el iPhone 3 con iOS 4.2.1, en otras versiones tal vez sea diferente (agradecería cualquier comentario al respecto).
Ahora veamos el mismo ejemplo de la página falsa abierta por medio del QR en un móvil Android, donde en este caso Opera es el navegador por defecto:
En este caso la URL está a la vista, los usuarios cuidadosos se darían cuenta de que están ante un ataque de phishing y no ingresarían su información.
Pero todos sabemos que la mayoría de los usuarios no son cuidadosos y si ven una página de login ponen su contraseña como si no pasara nada, además la URL se puede camuflar para que sea confusa y se parezca a la real. En un buen contexto o ataque de ingeniería social se podría engañar a muchas personas, imagina que por la calle entregaran folletos o dejaran un cartel con un código QR gigante y un mensaje que dijera «inicia sesión con tu Live ID y participa en el sorteo de una Xbox«, seguramente muchos lean el código e ingresen sus datos sin pensarlo demasiado…
Muchos usuarios tienden a confiar en estos códigos porque creen que son seguros o que los celulares no se pueden infectar, pero como vemos es muy sencillo utilizarlos para hacer cosas malas, así que hay que ser cuidadosos!
Si quieres leer más sobre los códigos QR, en la Wikipedia puedes encontrar buena información.
Actualización: «Using QR tags to Attack SmartPhones (Attaging)» una lectura muy buena que muestra lo peligroso que pueden ser estos códigos y un par de ataques que se pueden realizar.