Los códigos QR —abreviatura en inglés de quick response o respuesta rápida— son botones digitales muy apreciados debido a su impresionante multifuncionalidad. Por ello, cada vez más negocios desean conocer como crear un codigo QR con el fin de integrarlos a sus campañas promocionales. Al fin y al cabo, son ideogramas muy efectivos al momento de captar clientes, generar interacciones duraderas, recibir feedback y fidelizar usuarios.
Mas, la omnipresencia de los QR —tanto en objetos físicos como en plataformas digitales— también es aprovechada por los cibercriminales para cometer sus fechorías. Una de las estafas más utilizadas y, lamentablemente, más efectivas es el denominado QRLJacking o Quick Response Code Login Jacking. En términos llanos, se trata de un ataque con un vector simple de ingeniería social que afecta el inicio de sesión con códigos QR.
Sin embargo, el QRLJacking -también conocido como quishing– es mucho más que eso, a continuación, se profundiza al respecto.
Modus operandi del QRLJacking
Flujo de ataque
1. El cibercriminal inicia sesión en la aplicación o portal web elegido para cometer su fechoría como cualquier otro usuario, es decir, como lo haría su probable víctima;
2. El hacker replica la apariencia del código QR de inicio de sesión en el website o la App legítima y lo coloca en una página web de phishing. Ésta última consiste en un portal idéntico al verdadero que, incluso, es actualizado constantemente con la intención de engatusar a una víctima desprevenida;
3. El estafador envía el website de phishing a múltiples usuarios a través de distintos canales: redes sociales, correos electrónicos, foros y chats con temas de interés general;
4. La persona escanea el código QR “infectado” mediante una aplicación específica en su smartphone. A partir de este punto, el hacker se hace con el control de la cuenta de la víctima;
5. La programación del ideograma utilizado para el QRLJacking intercambia todos los datos de los usuarios afectados con la sesión del cibercriminal.
Métodos de engaño para inducir el escaneo de códigos QR maliciosos
Técnicas de ingeniería social
Por lo general, los hackers implementan varias modalidades de ataque de forma simultánea con el propósito de aumentar sus probabilidades de éxito. La meta siempre es ganarse la confianza del usuario, por ende, los sitios elegidos para realizar el fraude normalmente son de firmas conocidas (Whatsapp o Amazon, por ejemplo). Igualmente, los cibercriminales suelen delimitar bien cuál es el target (audiencia objetivo) más propenso al QRLJacking.
Desmontaje del protocolo SSL
El protocolo de capas de conexión de seguridad —SSL, por sus siglas en inglés— es uno de los procedimientos más eficaces para prevenir hackeos. Ante esto, los estafadores del ciberespacio aluden que la web (usada para el phishing, pero aparentemente verídica) opera sin una política de HSTS (seguridad de transporte estricto). Luego, invitan al usuario a trabajar temporalmente en una versión no segura o, en otras palabras, desprotegida.
Alteración de las redes de entrega de contenidos (CDNs)
La imagen generada para la función de inicio de sesión con código QR dentro de una página segura es de tipo Base64. Este último es un método de codificación en el cual el texto del símbolo siempre aparece cifrado e invulnerable cuando los protocolos de navegación HTTPS – HSTS están activos. Para sortear esta cuestión, los hackers degradan las CDNs para que el código QR fraudulento no sea identificado como problemático.
Manipulación del tráfico en redes de área local (LAN)
Consiste en violar las redes de área local de los usuarios mediante la explotación de portales web desprotegidos. Para ello, el hacker envenena el tráfico en tiempo real a través de la introducción de un archivo JS en cada página web vulnerable registrada en el historial de la LAN. Por este motivo, también se le denomina MITM (siglas en inglés de ataque con intermediario).
Cómo prevenir el QRLJacking
La recomendación principal para los usuarios es no iniciar sesión en sus cuentas mediante el escaneo de códigos QR a menos que sea absolutamente indispensable. Seguidamente, las personas pueden evitar convertirse en víctimas de QRLJacking a través limitaciones aplicadas con la finalidad de cerrar la ventana de acción de los delincuentes. Entre ellas:
-Implantar un protocolo de confirmación de inicio de sesión: funciona con una notificación que muestra las características del login realizado por el cliente y/o servidor;
-Implementar restricciones de IP para el inicio de sesión (prohibir los login desde IP desconocidos);
-Delimitar el acceso a determinadas ubicaciones geográficas y emitir una alerta cuando la ubicación del inicio de sesión es desconocida;
-Reforzar la seguridad del login mediante una autenticación basada en la voz del usuario.
Consecuencias del QRLJacking
1. Secuestro de cuentas y afectación de la reputación por acciones realizadas por el ciberdelincuente (haciéndose pasar por el usuario estafado);
2. Revelación de un amplio espectro de datos privados vinculados al inicio de sesión de la cuenta, entre ellos:
-Ubicación geográfica por GPS;
-Información de la tarjeta SIM;
-Tipo de dispositivo;
-IMEI del dispositivo.
3. Manipulación de datos:
-Una vez escaneado el ideograma utilizado para el QLRJacking —punto de “revelación de información”— los datos de la víctima quedan a disposición del atacante en una conexión de red insegura;
-La información extraída (especialmente las contraseñas) puede servir para extender el daño a otros perfiles del usuario, pues al menos el 60 % de los usuarios suele utilizar las mismas claves en distintas cuentas.
4. El hacker puede modificar o, inclusive, eliminar los datos a su antojo.
Aspectos claves del QRLJacking
Una de las ventajas para los hackers de los ataques de QRLJacking radica en su simplicidad. Por consiguiente, el delincuente solo debe seguir y replicar la página desde donde saca el código QR clonado, pues él sabe que los símbolos usualmente tienen caducidad. Es decir, la apariencia del ideograma cambia con cada actualización de la página.
Para empeorar el panorama, algunos websites ni siquiera refrescan el QR de inicio de sesión con regularidad. Por este motivo, los cibercriminales ni siquiera necesitan tener un conocimiento muy profundo sobre programación y diseño de páginas web. Ciertamente, basta con unas habilidades básicas para modificar ligeramente el portal utilizado para el phishing más una víctima ingenua e incapaz de tomar las medidas de contención mínimas.
