El peligro de los códigos QR *por Eduardo Sánchez

peligroQR (1)En el nuevo mundo tecnológico que nos movemos todo está conectado y casi todo es accesible. Estamos rodeados de enlaces y no sólo los que encontramos en una Web, sino los que nos encontramos codificados en un QR en cualquier sitio: un cartel de publicidad, el servilletero del bar, un folleto de información, un currículum vitae e incluso en la matrícula de un coche. Los códigos QR se han convertido en parte de nuestra vida, pero ¿sabemos realmente que se esconde detrás de estas imágenes?

Un código QR simplemente es un código de barra bidimensional, de ahí que también se les conozca como códigos bidi. Se suelen utilizar para almacenar una URL y dar rápido acceso hacia cierta información relacionada con el lugar u objeto donde se encuentra. Por ejemplo, hoy día está muy de moda hacerse una tarjeta de visita y añadirle un código QR como la siguiente:

image001

¿Cómo podemos saber que almacenan estos códigos? ¿Hacia dónde nos llevan? Es sencillo, existen aplicaciones disponibles en los markets de nuestros teléfonos móviles que nos permiten leer dichos códigos a través de nuestras cámaras o desde una fotografía y la aplicación nos muestra cual es la URL hacia la que apunta. En nuestro caso, si hacemos la lectura con una de estas aplicaciones vemos como nos da la siguiente dirección: http://goo.gl/KpmQ9L

image003

Dicha dirección nos lleva a una dirección acortada de Google, la cual nos redireccionará a otra Web, en este caso si hacemos la prueba vemos que nos lleva a mi twitter:

image005

Aparentemente todo está correcto y podemos sentirnos seguros, pero cuando hay QR y acortadores de URL por medio debemos extremar las precauciones. Para ello siempre os recomiendo que cuando encontréis un enlace acortado lo comprobéis antes de visitarlo, en nuestro caso podemos utilizar muchas de las URL disponibles en Internet como por ejemplo http://www.knowurl.com/ donde nos dice a donde lleva el acortador realmente u otras aplicaciones que cuando leen el QR te comprueban el acortador que llevan dentro como vemos a continuación:

image007

Con esta otra aplicación si nos fijamos el QR leído nos despliega que el acortador nos llevará a iogin-twitter.co.nf  que realmente no es más que una URL intermedia que nos redireccionará hasta la Web verdadera de twitter. Sin embargo aunque este tipo de aplicaciones me puedan testear la Web y calificar de seguro el sitio (como vemos en la imagen anterior), no debemos de fiarnos, pues se puede estar dando una fuga de información desde el QR hasta llegar a la cuenta de twitter a la que se apuntaba en último lugar.

QR >Acortador de Google >Web Intermedia >Twitter

Antes de seguir adelante apuntaros la siguiente NOTA LEGAL:

  1. Todas las direcciones URL y QR mostrados son seguras y creadas exclusivamente para este artículo.
  2. La finalidad de esta información es conocer los peligros que esconden los QR y las direcciones acortadas.
  3. La prueba de concepto que podéis realizar vosotros mismos es totalmente segura.
  4. En ningún momento se guarda información sensible del usuario en ninguna de las URL intermedias.
  5. No me hago responsable del mal uso que se dé a la información aquí mostrada.

Una vez comentados estos puntos legales os propongo lo siguiente, pues este artículo no es un artículo más de un medio digital, sino que podéis interactuar con él. Para ello simplemente tenéis que escanear el QR de mi tarjeta de visita que os llevará a mi cuenta de twitter. Acto seguido visitar la siguiente URL iogin-twitter.co.nf/usuarios.txt  y veréis la fuga de información que habéis sufrido junto a otras personas. En este caso no se guarda información sensible, pero podrían obtener el navegador que utilizáis, vuestra dirección IP al completo y muchos otros datos… e incluso intentar instalar algún tipo de malware en vuestro PC por medio de ingeniería social o algún fallo de seguridad del navegador.

Espero que a partir de ahora os lo penséis dos veces antes de escanear un QR y sobre todo comprobar las URL a donde os conectáis pues puede que seáis víctimas de un posible ataque en la red.

Un handshake

@eduSatoe

Si ya sabes lo que tienes que hacer y no lo haces, entonces estás peor que antes” Confucio

*Eduardo Sánchez Toril es ingeniero informático y profesor en el IES Fidiana de Córdoba. Hacker ético y experto en seguridad informática es uno de los fundadores de la Asociación Nacional de Profesionales de Hacking Ético AnpHacket y de la iniciativa Hacks&beers. Ofreció una charla sobre Seguridad y Privacidad en Internet en el Centro de Andalucía Compromiso Digital en Córdoba con motivo del Día de Internet.

 

Deja un comentario