Códigos QR maliciosos: cuidado con lo que escaneas

Hoy en día se habla mucho de los códigos QR, pequeños recuadros rellenos de puntos. Si los escaneas con tu móvil, pueden mostrarte mensajes, llevarte a páginas web o indicarte direcciones en tu aplicación de mapas.

Mientras un código de barras almacena como mucho diez dígitos, un código QR puede contener más de 7.000. Hay ya quien los pone en el currículum, en la tarjeta de visita o incluso en el coche.

Pero un código QR también puede ser la puerta a contenido desagradable, como virus para móviles, páginas de phishing y bromas de mal gusto. Para evitar estas sorpresas, sigue nuestros consejos.

Ofuscación de enlaces, un problema inevitable

Los códigos QR se crearon para almacenar una gran cantidad de información en un espacio reducido. Para una máquina son muchísimo más rápidos de leer que un texto normal. Para un ser humano, en cambio, esa matrices de puntos son tan incomprensibles como la nieve que se ve al sintonizar un televisor viejo.

El misterio que rodea todo código QR puede ser aprovechado por cualquiera que pretenda ofuscar una dirección web. Así, lejos de servir su propósito original, el estándar QR se convierte en la puerta de entrada a lugares peligrosos. Ya han aparecido mensajes de spam que aprovechan la curiosidad que generan los códigos QR para captar usuarios incautos.

Una página con un código QR que lleva a una farmacia en línea. Spam para usuarios móviles.

Como en el caso de los enlaces web peligrosos, los límites los pone únicamente la imaginación. En el blog oficial de McAffee, el experto Jimmy Sha usa una imagen impactante, la de una ruleta rusa QR, para describir el riesgo asociado a escanear y ejecutar códigos al azar. Un código QR malicioso puede conducir, por ejemplo, a lo siguiente:

Es cada vez más habitual ver ejemplos de vandalismo con códigos QR, en el que carteles, señales o cualquier otro objeto se ve etiquetado con códigos que contienen direcciones web o mensajes ofensivos o en todo caso no-relacionados con la situación. Hay incluso quien usa algo de Tippex y un rotulador negro.

Desconfía de los códigos QR que carecen de contexto (imagen sacada de Security Management)

Consejos para lidiar con códigos QR desconocidos

La automatización es el principal enemigo de la seguridad. Un estudio de AppSec Labs pone en evidencia que la mayoría de escáneres de códigos QR están pobremente preparados para hacer frentes a ciertos tipos de ataques. Para evitar que un evilQR (código QR malicioso) te cause problemas, sigue estas recomendaciones:

  • Configura tu escáner de códigos QR para que no abra automáticamente los enlaces
  • Analiza siempre la dirección web del código QR antes de abrirla en el navegador
  • Fíjate en el contexto y no escanees códigos si no sabes a qué hacen referencia
  • Desconfía de códigos QR de gran tamaño que tienen pinta de haber sido alterados

Barcode Scanner (Android), tiene una opción para buscar más información sobre los códigos escaneados.

¿Has tenido alguna vez accidentes relacionados con códigos QR?

Cargando comentarios

¿Tienes un AdBlocker?

Los anuncios nos permiten ofrecer descargas gratuitas y seguras a nuestros usuarios. Por favor desactiva tu AdBlocker para continuar navegando por nuestro site.

Instrucciones para desactivarlo

Pulsa en el icono de tu AdBlocker en la barra de navegación y:

  • A) Desactiva el AdBlocker para este sitio.
  • B) Añade nuestro sitio a la lista de excepciones.

Continuar

¿Tienes un AdBlocker?

Los anuncios nos permiten ofrecer descargas gratuitas y seguras a nuestros usuarios. Por favor desactiva tu AdBlocker para continuar navegando por nuestro site.

Instrucciones para desactivarlo

Pulsa en el icono de tu AdBlocker en la barra de navegación y:

  • A) Desactiva el AdBlocker para este sitio.
  • B) Añade nuestro sitio a la lista de excepciones.