Códigos QR son la nueva amenaza de la seguridad informática


SANTIAGO.- Un estudio advierte que los códigos QR, utilizados masivamente por las empresas locales y usuarios de smartphone, son el nuevo medio que la industria de los hackers encontró para efectuar sus ataques y violar la seguridad y privacidad de las organizaciones, las personas y sus dispositivos móviles.

Andrés Pérez, gerente regional de Servicios de Seguridad y Conectividad IP de NovaRed empresa que elaboró el estudio, sostuvo que si bien el “código QR por sí sólo no es malware”, éstos son manipulados por los hackers que consiguen enviar al usuario hacia sitios con malware, con el objetivo de “tomar el control del teléfono celular de las personas que lo escanearon”.

El peligro que advierte el ejecutivo es que hoy, junto con que cualquier persona puede crear un código QR, los teléfonos celulares inteligentes son “empleados como un método transaccional; se está pagando a través de ellos, se ocupan servicios, se puede descontar plata de la cuenta telefónica y se está masificando el uso de éstos”.

El QR (Quick Response Barcode) es un código de barras bidimensional, que en su origen fue utilizado por la industria automotriz japonesa. La inclusión del software que lee códigos QR en teléfonos móviles permitió nuevos usos orientados al consumidor, que se manifiestan en comodidades como el dejar de tener que introducir datos de forma manual en los teléfonos.

Cómo atacan

Andrés Pérez explicó que para desencadenar el ataque, el hacker se vale de la curiosidad del usuario, quien como se ha visto,  escanea desde su celular la imagen del código: “Con eso te llevan a un sitio web de paso y ese sitio te redirige a un sitio final donde va a estar alojado el malware, el que se descarga al teléfono”.

El resultado, sostuvo el ejecutivo de NovaRed “es tomar el control del teléfono, hacer lo mismo que hace un botnet.  Instalan algo sin que la persona lo note y desde afuera toman el control y le dan ordenes al teléfono del tipo: “Si esta persona se conecta a su banco desde el teléfono, avísame”.

“Lo que hacen es hábilmente crear un código con trampa que  redirige a un sitio no válido o bien manipular el código QR para que te dirija a un sitio para descargar malware. El código QR por sí sólo no es malware”, continuó.

Cómo prevenir

“Cuando se  escanea un código QR nunca sabes si es que estás dirigiéndote a un sitio permitido o no”, afirmó el ejecutivo de NovaRed para poner el acento en que la educación y la prevención son la mejor manera de enfrentar esta nueva tendencia

Añadió que “desde el punto de vista de seguridad el código QR permite tener un medio distinto de propagación de ataques como el phishing o de sitios web para difundir malware que son muy difíciles de controlar a nivel personal y empresarial, debido a que están dirigidos específicamente a teléfonos móviles y muy pocos sistemas de seguridad están orientados a estos dispositivos, no existe una preocupación de tener un antivirus o firewall en estos equipos como sí lo hay en los PC y computadores personales”.

En el caso de los usuarios, la prevención debe tener en cuenta que hoy cualquier persona puede crear un código QR e imprimirlo no en una revista, sino que en un panfleto o afiche callejero.

Para las empresas, dijo el gerente regional de servicios de seguridad y conectividad IP de NovaRed, el consejo es “hacerse responsables de la integridad de las imágenes que está subiendo a sus páginas web”.

Dicha responsabilidad, afirmó, pasa “por contar con las herramientas para detectar si la imagen está siendo alterada y eso lo consigo con métodos que definen las características del archivo y que alertan cuando se está modificando”.

Pérez concluyó que, junto con las medidas de control, las empresas y los usuarios deben tener “claro que el código QR es un método alterable en el que traspaso información  y que al igual que los computadores, los dispositivos móviles deben ser considerados como sitios que deben ser altamente seguros”.

Vía Emol

Anuncios

Acerca de Luis Castellanos

Experto en e-Learning, Seguridad y Tecnología. luiscastellanos @ yahoo.com | @lrcastellanos

Publicado el 26 octubre 2011 en Seguridad Informática, Seguridad Informática. Añade a favoritos el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: