Los códigos QR necesitan una revisión de seguridad, dice su creador

Actualidadvulnerabilidad

Los museos los usan para dar vida a sus pinturas. Los restaurantes los ponen en las mesas para ayudar a los clientes a pagar sus cuentas cómodamente. Tesco, incluso los implementó en estaciones de metro para ayudar a crear tiendas virtuales. Los códigos QR existen desde 1994, pero su creador está preocupado. Necesitan una actualización de seguridad, dice.

El ingeniero Masahiro Hara soñó con el diseño de un código de barras con forma de matriz para su uso en la fabricación de automóviles japoneses, pero, como muchas tecnologías, despegó cuando la gente comenzó a usarlo de formas que no había imaginado. Su empleador, Denso, puso el diseño a disposición de forma gratuita. Ahora, la gente coloca códigos QR en todo, desde carteles hasta pantallas de confirmación de inicio de sesión.

Si pensabas que los códigos QR eran solo un truco de marketing pasajero, piénsalo de nuevo. Son muy populares en China, donde la gente los usó para realizar más de 1,65 billones de dólares en pagos solo en 2016, y Hong Kong también acaba de lanzar un sistema de pagos más rápido basado en códigos QR.

Los códigos generaron tanto interés que Apple incluso comenzó a admitirlos de forma nativa en la aplicación de la cámara para iOS 11, eliminando la necesidad de aplicaciones de escaneo QR de terceros.

Hara, está un poco asustado por todos estos nuevos usos para un diseño que originalmente solo debía ayudar en el control de producción en las plantas de fabricación. En una entrevista en Tokio a principios de agosto, según los informes, dijo:

Ahora que se usa para pagos, creo que tengo un cierto sentido de responsabilidad para hacerlo más seguro.

Tiene derecho a preocuparse. Los atacantes podrían comprometer a los usuarios de varias maneras usando códigos QR.

Un ejemplo es QRLjacking. Catalogado como un vector de ataque por el Open Web Application Security Project (OWASP), este ataque es posible cuando alguien usa un código QR como contraseña de un solo uso, mostrándolo en una pantalla. La organización advierte que un atacante podría clonar el código QR de un sitio legítimo a un sitio de phishing y luego enviárselo a la víctima.

Otra preocupación son los códigos QR falsificados. Los delincuentes pueden colocar sus propios códigos QR sobre los legítimos. En lugar de dirigir el teléfono inteligente del usuario a la página publicitada u oferta especial, el falso código podría llevar a los usuarios a sitios web de phishing o aquellos que están infectados con malware basado en JavaScript.

También podrían explotar el uso creciente de códigos QR para pagos. Un estafador podría reemplazar un código QR que lleva a las personas a una dirección de pago legítima con su propia URL de pago falsa.

Ya ha habido algunas propuestas sobre medidas de seguridad para los códigos QR, tal como se muestra en un documento de un curso del MIT. La sugerencia utiliza el cifrado para evitar que un tercero espíe y clone códigos QR utilizados para que las personas inicien sesión. Para hacer esto, la aplicación en línea enviaría un código QR cifrado a un dispositivo móvil que ya ha iniciado sesión (y por lo tanto es de confianza). Solo el dispositivo conectado puede descifrar el código QR, que luego se muestra para que el segundo dispositivo lo lea. El código QR contiene una URL que los registra en la aplicación. También hay varios sistemas de inicio de sesión de código QR cifrados ahora en producción.

Otra propuesta incorpora información de firma digital en el código para confirmar su autenticidad, pero utiliza más espacio del disponible para el código para los datos adicionales.

Estas son todas grandes ideas, y quizás Hara tiene algunas más. Pero será mejor que se implementen rápido. A medida que los códigos QR se ponen de moda, un diseño ampliamente implementado será cada vez más difícil de cambiar.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.