viernes, 1 de junio de 2012

CODIGO QR, una ventana al mundo virtual.

tomado de la revista altonivel

Twitter: @altonivel

No tiene que mirar lejos para detectar un código QR. Desde su origen, de etiquetar y rastrear partes utilizadas en la fabricación de automóviles, estos pequeños códigos de barras cuadrados actualmente se colocan en todas partes desde los empaques de los productos, pósters y vallas publicitarias, hasta revistas y periódicos.

Los códigos QR son un punto de salto al mundo en línea. Simplemente al escanear el código con su teléfono inteligente la gente puede accesar rápidamente el contenido digitalalmacenado en el código – haciéndolo el sueño de todo vendedor porque facilita dirigir a los usuarios hacia la información y los servicios. Es más, estos son un factor llamativo y de curiosidad para los usuarios que disfrutan la conveniencia de apuntar y navegar.

Sin embargo esto también los hace útiles para los hackers como herramienta de ingeniería social para explotar los intereses y la confianza de los usuarios y dirigirlos a sitios web maliciosos o malware. Mientras que el concepto de 'descargas drive-by' ya está bien establecido como una táctica furtiva para hurtar datos del usuario al navegar en la web los códigos QR ofrecen un método nuevo para manipular a los usuarios móviles de forma similar.

Un asunto de confianza

Mientras que las explotaciones de ingeniería social han evolucionado, desde los gusanos de correo electrónico, aún se apoyan en la curiosidad humana para ver qué puede ocurrir cuando los usuarios abren un archivo anexo o cuando escanean un código QR puede llevarlos a menudo a predicamentos de seguridad.

Es más las aplicaciones de escaneo de códigos QR que corren en los smartphones pueden proporcionar un enlace directo a otras capacidades del celular como email, SMS, servicios basados en la ubicación e instalaciones de aplicaciones y extender varios riesgos potenciales asociados a ataques informáticos a través de los dispositivos móviles.

Código leído

El primer paso para crear una explotación QR es distribuir el código, ponerlo frente a víctimas potenciales. Esto podría ocurrir al incorporar el código QR en un email – haciendo una explotación de phishing elaborada – o mediante la distribución posible de documentos de aspecto físico con código QR por ejemplo volantes en un evento o incluso calcomanías aplicadas en vallas publicitarias genuinas.

Una vez que se distribuye el código QR el atacante tiene una variedad de opciones de estafa de donde elegir. A un nivel básico el código podría simplemente redireccionar a los usuarios a sitios web falsos con objetivos de phishing – como un almacén en línea simulado o un sitio de pagos.

Las explotaciones más sofisticadas incluyen a los hackers que utilizan códigos QR para direccionar a los usuarios a sitios web que 'secuestrarán' su dispositivo móvil – es decir permite el acceso de raíz al sistema operativo del aparato e instala malware. Esto es esencialmente un ataque de descarga drive-by en el dispositivo que habilita software o aplicaciones adicionales como registradores de claves y rastreadores GPS para que se instalen sin el conocimiento o el permiso del usuario.

La banca móvil como blanco

Tal vez el mayor riesgo potencial para los usuarios es el uso creciente de la banca móvil y de los pagos mediante los smartphones. Con la capacidad de los códigos QR de bloquear dispositivos y de aprovechar las aplicaciones, esto le podría dar a los hackers acceso virtual a las billeteras móviles de los usuarios especialmente ahora que las soluciones de pagos basadas en QR ya existen y se utilizan. Aunque la captación actualmente es chiquita crecerá a medida que la aceptación pública de los códigos QR incremente.

 Entonces ¿qué pueden hacer las organizaciones y usuarios individuales para mitigar los riesgos de los códigos QR?

La precaución más importante es poder establecer exactamente qué vínculo o recurso abrirá el código QR cuando se escanee. Algunas aplicaciones QR (no todas) dan esta visibilidad y – críticamente – piden al usuario que confirme si desea actuar. Esto le da la oportunidad a los usuarios evaluar la validez del enlace antes que el código sea activado.

 Considere implementar la codificación de datos en los teléfonos inteligentes corporativos así en caso de que si un código QR malicioso consiguiera instalar un troyano en el dispositivo los datos confidenciales quedarían aún protegidos y no serían accesibles o usables inmediatamente por parte de los hackers.

Lo básico en seguridad aún aplica – tenga cuidado con lo que escanea y utilice codificación de datos cuando sea posible. O simplemente: Piénselo bien antes de usar los códigos QR.


--
soy como el clavo, que aun viejo y oxidado, sigue siendo clavo

No hay comentarios.: