Blog

¿Qué es el Qrljacking y cómo prevenirlo?

¿Qué es el Qrljacking?



Los códigos QR, o códigos de respuesta rápida, son geniales. Se pueden utilizar para codificar esencialmente todo lo alfanumérico y digital. Además, parecen algo futuristas. Los códigos QR son una mejora técnica de los códigos de barras (eje X: de izquierda a derecha). Mientras que los códigos de barras se consideran unidimensionales, los códigos QR son bidimensionales (ejes X e Y, de izquierda a derecha y de arriba a abajo). Los códigos QR pueden almacenar hasta 7089 dígitos o 4296 caracteres. Esto incluye signos de puntuación y caracteres especiales. Por lo tanto, los códigos QR se pueden utilizar para codificar palabras, frases, URL de Internet y también credenciales de inicio de sesión.

Pero por conveniencia, los códigos QRL también son un vector de ataque en línea. Introduzca QRLjacking.



Historial de códigos QR

Los códigos QR fueron creados por una empresa fabricante japonesa llamada onda densa . La empresa necesitaba un mejor sistema de codificación que pudiera manejar más datos (capaz de codificar más caracteres) que los códigos de barras tradicionales. La empresa necesitaba esto para poder realizar un seguimiento del creciente número de vehículos y piezas que fabricaba. El empleado de Denso Wave, Masahiro Hara, junto con un equipo de dos colegas, desarrollaron lo que hoy conocemos como códigos QR. Los códigos QR están disponibles desde 1994.

¿Qué son los QRL?

QRL, o inicio de sesión con código de respuesta rápida, es una alternativa a la autenticación basada en contraseña. Los QRL permiten a los usuarios iniciar sesión en sus cuentas escaneando (tomando una fotografía) un código QR, que codifica las credenciales de inicio de sesión del usuario. Entonces, sí, eso significa que necesitas un dispositivo equipado con una cámara que sea capaz de interpretar códigos QR. Pero la mayoría de los teléfonos inteligentes y computadoras que compras hoy tienen esa funcionalidad incorporada.



QRL, o Inicio de sesión con código de respuesta rápida, surgió como una forma de superar dos de los principales problemas que afectan a los inicios de sesión tradicionales basados ​​en contraseñas.

  1. Fatiga de contraseñas:Dado que el número de servicios en línea crece día a día, pedirle a un usuario que cree y recuerde una contraseña segura para cada una de sus cuentas rápidamente se vuelve inmanejable. Entonces la gente termina reutilizando las mismas contraseñas para múltiples sitios/servicios. Es una muy mala idea por muchas razones. Es decir, porque si alguna vez se ve comprometida una contraseña que utiliza para muchos servicios, su cuenta para todos esos servicios se verá comprometida. Eso efectivamente multiplica el daño por la cantidad de sitios/servicios que comparten esa contraseña. Para obtener más información, puede leer nuestro artículo dedicado a la reutilización de contraseñas.
  2. Ataques de repetición:Las credenciales tradicionales basadas en contraseñas son vulnerables a ataques de repetición. Un ataque de repetición es un tipo de ataque de hombre en el medio , en el que la transmisión de datos legítimos (las credenciales de inicio de sesión de un usuario, por ejemplo) es retrasada e interceptada por el atacante, quien luego retransmite los datos interceptados para hacerse pasar por el usuario real y potencialmente robar sus datos. Debido a que los QRL cambian con cada intento de inicio de sesión, se cierra la puerta a este tipo de ataques.

Pero eso no significa que los QRL sean invulnerables, de ninguna manera, como veremos.

¿Qué es el QRLjacking?

QRLjacking es un ataque en línea que consiste en engañar a un usuario desprevenido para que escanee el QRL proporcionado por el atacante en lugar del QRL real emitido por el proveedor de servicios. Una vez que el usuario escanea el QRL malicioso, el atacante obtiene acceso a la cuenta del usuario y suceden cosas malas.

El QRLjacking, como muchos ataques en línea, requiere alguna forma de ingeniería social para engañar a la víctima para que escanee el QRL comprometido.

A continuación se muestra un ejemplo de un ataque típico de QRLjacking:

  1. El atacante inicia una sesión QR del lado del cliente para el sitio web/servicio en cuestión.
  2. Luego, el atacante clona el código QR de inicio de sesión en una página de inicio de sesión falsa que imita fielmente un servicio en línea legítimo. Los códigos QR que muestra son válidos y se actualizan periódicamente.
  3. Utilizando alguna forma de ingeniería social, el atacante envía la página falsa a la víctima. Puede ser un correo electrónico con una URL, una publicación de Facebook, incluso un mensaje de texto, lo que sea, siempre que engañe a la víctima para que haga clic en el enlace.
  4. El usuario escanea el QRL malicioso con la aplicación móvil para la que se creó el QRL.
  5. El atacante obtiene acceso a la cuenta de la víctima y el servicio en línea no se da cuenta, ya que comparte los datos del usuario con el atacante.

Ataques de secuestro de QRL en el mundo real

En abril de 2019, OWASP.org , El Proyecto Abierto de Seguridad de Aplicaciones Web, creó un repositorio de GitHub herramientas de software de alojamiento para perpetrar ataques de QRLjacking, completas con instrucciones y un Wiki. Los investigadores de seguridad a veces publican cosas 'desagradables' con fines de investigación.

En la página de GitHub, OWASP enumera los servicios en línea que, en abril de 2019, se sabía que eran vulnerables a los ataques de QRLjacking. He reproducido la lista a continuación. Algunos de los servicios en línea que figuran en la lista de OWASP pueden sorprenderle.

La mayoría de estos servicios son chinos o rusos, donde los códigos QR son mucho más comunes.

Aplicaciones de chat

  • WhatsApp
  • WeChat
  • Línea
  • Weibo
  • Mensajería instantánea QQ

Servicios de correo

  • Correo QQ (Personal y Empresarial Corporativo),
  • Correo Yandex

comercio electrónico

  • Alí Babá
  • aliexpress
  • taobao
  • pequeño
  • 1688.com
  • no recibir
  • Viajes a Taobao

Banca en línea

  • Alipay
  • Dinero Yandex
  • Diez pagos

Servicios de pasaportes

  • Pasaporte Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc.)

Software de gestión móvil

  • Airdroide

Otros servicios

  • MiDigiPass
  • Complemento de inicio de sesión de WordPress Zapper & Zapper mediante código QR
  • Aplicación confiable
  • teléfono amarillo
  • Alibaba Yunos

Mitigar los ataques de QRLjacking

No hay mucho que los usuarios puedan hacer para protegerse contra los ataques de QRLjacking más allá de no usar QRL en absoluto. De hecho, es la recomendación número uno de OWASP para mitigar el QRLjacking.

Más allá de eso, existen algunas medidas que los administradores de sitios web pueden tomar para minimizar la superficie de ataque. Aunque también deberían dejar de usarlo como medio para autenticar a sus usuarios. Pero si debe utilizar QRL, aquí tiene algunos consejos de seguridad.

Correo electrónico/SMS de confirmación

El sitio web/servicio envía un correo electrónico o mensaje SMS de confirmación al usuario, después de que haya iniciado sesión con el QRL. De esa manera, el usuario podría determinar que algo pasa si no recibe el mensaje de confirmación.

Direcciones IP restringidas

Restringir las direcciones IP que pueden usar QRL es otra forma de mitigar los ataques de QRLjacking. El usuario debe solicitar el QRL del sitio/servicio, para que el servicio conozca su dirección IP en este momento. Esto bloquearía la solicitud de autenticación del servidor del atacante. Sin embargo, hay maneras en que un atacante podría parodia su dirección IP y potencialmente eludir esta medida de seguridad.

Ubicación restringida

De manera similar a lo anterior, otra medida de mitigación sería restringir las ubicaciones desde las cuales se aceptan solicitudes de autenticación. Debido a que el sitio web/servicio inevitablemente conoce la dirección IP del usuario, también conoce su ubicación general. Si bien no es infalible, esto podría frustrar una solicitud de autenticación del atacante siempre que el servidor malicioso no se encuentre en la misma ubicación general que la víctima.

Pero, una vez más, se trata de medidas de mitigación relativamente poco prácticas. Y ninguno de ellos es una solución milagrosa. El número uno es teórico. El número dos no es tan difícil de eludir. Y el número tres no funcionará si el servidor del atacante está en la misma ubicación general que la víctima.

Por tanto, la mejor mitigación es no utilizar QRL en absoluto.

Si, como usuario, debes utilizar QRL, aquí tienes algunos consejos de sentido común que pueden ayudarte. Estas son cosas que deberías hacer de todos modos. No sólo en un contexto en el que intentas defenderte del QRLjacking.

  • Utilice un firewall: todos los principales sistemas operativos tienen un firewall entrante incorporado y todos los enrutadores comerciales del mercado tienen un firewall NAT incorporado. Asegúrese de que estén habilitados, ya que pueden protegerlo en caso de que haga clic en un enlace malicioso.
  • Si su navegador web muestra una advertencia sobre un sitio web al que intenta acceder o su certificado SSL, preste atención y navegue fuera de ese sitio.
  • No haga clic en enlaces o archivos adjuntos de correos electrónicos a menos que sepa exactamente quién los envió y qué es.

Conclusión

La seguridad y la comodidad están en constante equilibrio. Internet para las masas requiere ambas cosas, pero el equilibrio es difícil de encontrar. Sin embargo, a veces se exagera la comodidad. Por ejemplo, ¿son las QRL mucho más convenientes que las contraseñas de un solo uso (OTP)? Piénselo, aún necesita sacar su teléfono, iniciar la aplicación de la cámara y tomar una fotografía. ¿Es eso mucho más conveniente que abrir una aplicación OTP y copiarla y pegarla? No estoy seguro de que lo sea. Y, ¿somos ahora tan “perezosos en Internet” que un golpe adicional o dos se convierte en un factor decisivo?

Si bien la conveniencia puede ser conveniente (bonita perogrullada, ¿no?), no siempre es segura. Y si bien Internet puede mostrarnos muchas cosas divertidas e interesantes, nunca olvides que Internet es un lugar hostil en el que no faltan personas y organizaciones que quieren una parte de ti. Así que no utilice QRL, al menos para sus cuentas en línea más importantes. Y aunque quizás no sean tan convenientes como la función de inicio de sesión automático de su navegador web, las OTP, aunque no son perfectas, brindarán una seguridad mucho mejor que las QRL. Una ligera caída en la comodidad a menudo produce importantes mejoras en la seguridad.

^