Durant els últims dies han estat diversos els mitjans de comunicació i blogs especialitzats en ciberseguretat que s’han fet eco d’una suposada estafa que s’estaria produint en el barri de Carabanchel, Madrid, on s’estan utilitzant multes falses que incorporen un codi QR perquè l’usuari que les rebi les escanegi. L’alarma no va trigar a estendre’s i no van ser pocs els que alertaven d’una possible estafa als conductors que aparquessin en aquest barri madrileny.

No obstant això, el codi QR proporcionat en les multes fraudulentes redirigien a la secció de pagament d’infraccions de l’ajuntament de Madrid, descartant la possibilitat que es tractés d’un robatori de dades de la suplantació d’un organisme oficial per a robar informació de targetes de crèdit.

Segurament es tracta d’alguna broma per a confondre als conductors que aparquin per aquesta zona, o bé d’una possible prova de concepte per a provar la viabilitat d’un atac fent servir falses multes de trànsit. Aquest fet ens recorda la necessitat d’anar amb molta cura a l’hora d’escanejar codis QR que ens trobem en el nostre dia a dia o de manera ocasional.

Possibles atacs usant codis QR

A pesar que el seu ús no és nou, la seva extensió durant els últims anys ha fet que cada vegada els estiguem utilitzant més, alguna cosa que també poden fer els ciberdelinqüents. Per a ells no és difícil usar-los de manera maliciosa, ja que, en essència, es tracta de cadenes de text codificades que poden contenir enllaços a llocs tant legítims com maliciosos.

Actualment, fer servir un codi QR per a cometre un atac contra el dispositiu usat per a llegir-lo o la informació que s’emmagatzema en ell és fàcil, encara que, de moment, no és una cosa que estigui molt estès. Les maneres d’explotar-los són variades i inclouen:

– De la mateixa forma que s’inclouen enllaços en correus electrònics perquè els usuaris piquin i vagin a webs preparades pels delinqüents, aquesta redirecció també pot realitzar-se usant codis QR.

– No només se’ns pot redirigir a una web maliciosa usant un QR, sinó provocar que des d’aquesta mateixa web es realitzi una descàrrega d’un malware en el nostre dispositiu. Normalment, es necessitarà que l’usuari executi l’arxiu i li doni els permisos necessaris perquè realitzi la seva activitat maliciosa, per la qual cosa hem d’estar atents i no actuar abans que sigui massa tarda.

– Els codis QR tenen la capacitat d’iniciar accions en el dispositiu que els llegeix, normalment relacionades amb una aplicació associada, per exemple, a la lectura de fitxers PDF. Això és una cosa habitual quan, per exemple, estem llegint la carta d’un restaurant en el nostre telèfon intel·ligent. Però existeixen altres accions com connectar el dispositiu a una xarxa Wi-Fi, enviar un correu electrònic o un missatge SMS amb un text predefinit o guardar informació de contacte en el dispositiu que podrien usar-se per a fer que un dispositiu es connectés a una xarxa compromesa o enviar missatges en nom de la víctima.

– Algunes aplicacions financeres o fins i tot de missatgeria permeten realitzar pagaments usant codis QR amb les dades del destinatari, una cosa usada per alguns comerços per a facilitar els pagaments dels seus clients. No obstant això, un delinqüent podria arribar a generar codis amb sol·licituds de cobrament de diners per a enganyar els compradors.

– En els últims anys, i a conseqüència de la pandèmia, els codis QR s’utilitzen com a certificat per a verificar la informació d’una persona, com el seu DNI o el seu passi de vacunació. En aquests casos, els codis QR poden contenir informació tan sensible com la que conté en el seu DNI o historial mèdic, que un atacant podria obtenir fàcilment escanejant el codi QR. Sense anar més lluny, moltes aplicacions com WhatsApp, Telegram o Discord utilitzen a vegades codis QR per a autenticar les sessions dels usuaris i així permetre’ls accedir als seus comptes. Com ja ha ocorregut amb WhatsApp amb atacs com el QRLjacking, els atacants poden enganyar un usuari suplantant la identitat del servei i enganyant aquest perquè escanegi el QR proporcionat per l’atacant.

En la majoria dels casos descrits, l’atacant hauria de generar un codi QR maliciós que substitueixi al codi original que escanejarà la víctima. En altres paraules, els atacs impliquen enginyeria social i es basen a enganyar la víctima perquè dugui a terme una acció malintencionada.

Consells per a usar els codis QR de manera segura

Una vegada hem descrit l’ús habitual dels codis QR i les maneres en què poden ser aprofitats pels delinqüents, és hora de veure com podem protegir-nos davant aquests atacs. Començarem per la revisió física, i és que no seria estrany veure que algú ha enganxat un codi QR fraudulent damunt d’un altre legítim, per la qual cosa hem d’assegurar-nos que l’original no ha estat manipulat.

Alguna cosa que sembla obvia, però que molts usuaris encara no compleixen és evitar escanejar codis QR que ens trobem de manera sobtada o que ens enviïn mitjançant missatges no sol·licitats. Així mateix, hem de tenir molta cura a l’hora de realitzar un pagament usant un codi QR, i usar-los solament en aquells comerços de confiança.

Tampoc hem de permetre que els codis QR iniciïn accions automàtiques en escanejar-los sense abans revisar-ho prèviament, sigui obrir un lloc web o un document. Quan els escanegem, cal donar-li un cop d’ull a l’URL proporcionat a la recerca d’alguna cosa fora de lloc i, així i tot, sovint és millor evitar introduir les teves dades d’accés o informació personal en un lloc al qual has arribat a través d’un codi QR per si la web hagués estat suplantada.

A l’hora de compartir informació confidencial mitjançant un codi QR, hem d’assegurar-nos que només ho fem amb organismes oficials que realment ho requereixin, com, per exemple, a l’hora de revisar certificats sanitaris. Això és una cosa que s’ha tornat comú a l’hora de viatjar a certs països, i per això hem d’assegurar-nos de compartir aquesta informació només amb el personal autoritzat per a manejar-la. En definitiva, es tracta d’utilitzar els codis QR amb la mateixa precaució que els enllaços o arxius adjunts en correus electrònics o aplicacions de missatgeria, sospitant de tots ells i, especialment, dels que no han estat sol·licitats. Tot això sense oblidar-nos de mantenir les nostres aplicacions actualitzades i d’usar un programari de seguretat en el nostre dispositiu per a detectar enllaços i descàrregues de fitxers maliciosos.(Tecnonews | @TecnoNewsInfo / AMIC)