Los códigos QR son la evolución de los códigos de barras, son bastante útiles ya que se puede codificar la mayoría de información dentro de ellos, a día de hoy se suelen usar para codificar información como, imágenes, texto, enlaces a direcciones de correo, instrucciones para la conexión a una red o, simplemente una URL, he aquí el problema, que, no es algo difícil codificar información dentro de un código QR y, como sabrás, los ciberdelincuentes siempre buscarán la forma de afectar de forma negativa a los usuarios para sacar beneficio de ello y, se les hace muy simple la creación de códigos QR cuya información codificada dentro es engañosa y maliciosa, usualmente estos códigos los usan mayoritariamente para intentos de suplantación de identidad.
Imagina una situación, estas tú con tu autoestima bien alto llegando a un hotel, estos típicos hoteles que, tienen su red inalámbrica (Wi-Fi para los panas) de manera abierta (sin contraseña) pero, que la condición para poder tener conexión de verdad con la red de redes (internet compa, internet) debes introducir una serie de datos personales, como nombre, dirección de correo, número telefónico y demás, bien ahora imagina que, un grupo de ciberdelincuentes se encargaron de crear un código QR que sirviera para conectarse a una red Wi-Fi que se llama exactamente igual a la del hotel, que igualmente es de acceso público, pero que, evidentemente no es la legítima (esto sería un ataque llamado EvilTwin) y, se encargaron además de imprimir dicho código QR y pegarlo en lugares del hotel para que los huéspedes piensen que ese QR es el que lleva a la conexión con la red legítima, esto no es algo que pueda parecer super complejo de hacer, por la falta de concienciación del público en general en materia de ciberseguridad, los ciberdelincuentes tienen mucha libertad para hacer sus acciones maliciosas, entonces ahora tú vienes y escaneas alguno de esos QR’s maliciosos y te terminas conectando a una red inalámbrica maliciosa con todos los peligros que eso conlleva pensando que es la red legítima.
Y es que, los códigos QR tienen esa particularidad, que no puedes saber a simple vista que información tienen codificada, a día de hoy la mayoría de cámaras de dispositivos móviles permiten leer la información codificada dentro de alguno de estos códigos QR, pero en varios dispositivos, no se muestra una antesala de la información codificada, es decir, que si escaneas un código QR con tu cámara y la misma no posee una previsualización de la información antes de realizar alguna acción, esto provocará que si escaneas un código QR que te lleva a un sitio web malicioso, no puedas ver la URL, ya que automáticamente al escanearlo te redirigirá hacia el sitio web en cuestión, por lo cual, comprueba si tu cámara realiza una previsualización antes de ejecutar las instrucciones contenidas en el código QR y, si no es así, siempre puedes descargar un lector QR que si permita esta opción (que son la mayoría sino qué sentido).
Pero claro, si un ciberdelincuente crea un código QR que contiene una URL a un sitio web malicioso, en teoría pudiendo ver la URL antes de acceder y analizarla con, por ejemplo, VirusTotal, bastaría para tener una imagen muy por encima si el sitio es seguro o no, pero, qué pasaría si en lugar de codificar una URL, se codificará esa misma URL, pero con un acortador, en teoría podríamos ver la URL acortada con la previsualización, pero claro, si analizamos ese acortador con, por ejemplo VirusTotal, no tendría sentido, ya que esta aplicación no accede al destino final del acortador y no sabremos si el destino final es malicioso o no, en este punto es recomendable usar otras herramientas, por ejemplo ExpandURL para ver el destino final del acortador y, una vez obtenido dicho destino final, ya poder analizar esa URL en VirusTotal y determinar si accedemos o no basándonos en los resultados que esta herramienta nos pueda proporcionar.
Hagamos un caso práctico, imagina que el amor de tu vida te dice “hola mi amor, ¿estás aprendiendo ciberseguridad solo en serio?”, ok perdón eso no, imagina que te envía un código QR diciéndote que es el enlace a su sitio web, entonces vienes tú, escaneas dicho código QR y puedes observar que es una URL acortada:
En este caso fíjate que hemos leído el código QR desde un servicio online que nos permite esta labor, debido a que si lo hacíamos con un dispositivo móvil iba a quedar con muy mala calidad, además ten en cuenta que, la URL acortada no es maliciosa, de hecho su destino final es colddsecurity.com y, hemos usado bitly porque es el acortador de URL más famoso y por el cual se propaga más malware, ten en cuenta, bitly no es malicioso, los destinos finales que acorta en algunas ocasiones sí que lo son, así que atento a eso.
Bien, volviendo con el ejemplo, ya sabemos cual es la URL acortada, en este punto cualquier persona sin concienciación en ciberseguridad accedería sin más poniendo su información en riesgo, pero tu eres diferente, tu desconfías siempre que se trate de tu información personal, así que usas un servicio como ExpandURL para ver el destino final de la URL acortada SIN tener que acceder a ella (porque en ese caso no tiene sentido):
Ahora bien, como pudiste ver gracias a la herramienta, la URL acortada redirige a otra URL que es “https://colddsecurity.com” entonces, ahora sí que puedes ir a, por ejemplo, VirusTotal y analizar la URL en cuestión:
Y, en este caso, determinar que la URL te lleva a un sitio web que es legítimo, seguro.
Y con esto ya estaría, puedes usar el mismo proceso cuando escanees un código QR del cual sospeches que contenga información maliciosa codificada, como ves, es muy fácil el poder detectar y protegerse ante códigos QR maliciosos, recuerda que siempre lo que va a determinar la seguridad de tu información en mayor medida, será tu sentido común, úsalo, entiende que tu información vale mucho (y tú también), así que añade la mayor cantidad de barreras de seguridad posibles para protegerla, también recuerda que ya está disponible el nuevo curso gratuito Ciberseguridad y Privacidad 202 donde tocamos estos temas y más, siempre para seguir mejorando la seguridad de tu información.
