Seguridad en Internet y dispositivos móviles, caso práctico por Raúl Fuentes en TomatinaCON.

Caso práctico de seguridad en Internet: peligros de los QR y URL acortadas

El mantra de que en Internet no todo es lo que parece sale a relucir una y otra vez y es que al fin y al cabo es lo que sucede en la red. Y sino basta poner como ejemplo un simple sorteo que podemos encontrar en cualquier red social, web o en un folleto en la calle y que podría acabar convirtiéndose en una pesadilla poniendo en riesgo nuestra seguridad en Internet y de los diferentes dispositivos móviles si de inofensivo ese sorteo tiene poco.

No podemos olvidar nunca que los ciberdelincuentes viven del engaño, cuantos más usuarios piquen más ganancia tienen. Siempre están tratando de ver el modo de llegar a cuantos más usuarios mejor ya sea usando cosas sencillas como un sorteo en red, cualquier campaña de phishing o preparando ataques dirigidos más sofisticados.

Nunca hay que olvidar que los malos son maestros de la ingeniería social como se ha visto en Palabra de hacker tanto en el ciberdebate especial sobre el tema ‘Ingeniería social, el arte de atacar al eslabón más débil‘, en el dedicado a los ‘Fraudes online, cómo identificarlos y evitarlos‘, al repasar ‘La curiosa historia del spam y cómo protegerse del phishing‘, al ver cómo ‘La realidad supera la ficción, cómo proteger la identidad digital‘ y en tantos otros contenidos.

En esta ocasión toca descubrir de una manera sencilla y práctica cómo los QR y los enlaces acortados pueden esconder un engaño que no esperamos y poner en riesgo nuestra seguridad en Internet por ejemplo por la simple participación en un falso sorteo, la tapadera perfecta para que los ciberdelincuentes hagan de las suyas y entren hasta las entrañas en nuestros ordenadores y dispositivos móviles y obtengan de manera ilícita nuestra información, datos personales, credenciales o incluso lleguen a instalar un malware, un troyano o un software espía, que de todo hay.

Raúl Fuentes (@raulfuentes77es ingeniero en Informática y analista Informático Superior de Aplicaciones C++, Microsoft Office Specialist (MOS), Adobe Certified Associate (ACA) así como profesor en cursos de postgrado y en ciclos formativos, responsable del área de negocio en EKATEC Valencia y responsable del área nuevas tecnologías y coordinador académico de formación modalidad e-learning y seguridad informática en TAES y organizador de las Jornadas de Seguridad Informática TomatinaCON y dinamizador de Hack&Beers en Valencia.

El caso es que como cibercooperante de INCIBE-IS4K al igual que yo ambos ofrecimos una charla en TomatinaCON como hicimos en la pasada edición para concienciar sobre el uso seguro y responsable de Internet y Raúl incorporó a su charla un pequeño caso práctico que grabé y que está disponible a continuación tanto en vídeo como en podcast (desde este enlace puedes ver los vídeos de TomatinaCON recopilados en una lista de reproducción).

Seguridad en Internet, caso práctico

Tras hacer un repaso a la ‘Navegación ¿segura? por Internet‘ Raúl Fuentes expuso un caso simulado centrado en demostrar lo sencillo que puede ser clonar una página web o elaborar una aplicación maliciosa con la intención de suplantar la identidad de una web oficial o una aplicación original y engañar al usuario poniendo así en riesgo su seguridad en Internet.

Una cosa está clara los QR resultan cómodos y prácticos y en marketing se utilizan bastante ya que con un simple escaneo se obtiene una acción por parte del usuario, bien sea ir a una web determinada, descargar un archivo, ir a una aplicación para su descarga, acceder a un formulario de suscripción o de participación en un sorteo por ejemplo. 

El QR en teoría está pensado para facilitar el camino a los usuarios en Internet a la hora de aterrizar en un determinado sitio en Internet pero no siempre el aterrizaje acaba en un sitio legítimo y ese es el riesgo que corremos al escanearlos. Y exactamente lo mismo sucede con los enlaces acortados.

Estas url nacieron para ‘ahorrar caracteres’ y resumir un enlace más largo en unos cuantos caracteres y así facilitar al usuario que ganara espacio u obtuviera una url, personalizada o no, mucho más breve que la original para compartir en algún sitio de manera más sencilla y práctica. Pero hecha la ley, hecha la trampa y es que estos enlaces acortados también cuentan con una contrapartida y es que el nuevo enlace pueda enmascarar un engaño.

Es posible que al pinchar en dicha url en lugar de acceder en la web legítima que pensamos nos lleve a otra que ha resultado clonada por alguien con malas intenciones para mediante esa suplantación de identidad conseguir un propósito.

Puede ser que sea que introduzcamos el usuario y contraseña pensando que es la web de acceso habitual a un servicio. Que nos suscribamos a algo o nos apuntemos a un sorteo inexistente para engordar sus bases de datos con nuestra información personal o dejemos datos personales a cambio de la descarga de un archivo, vídeo, imágenes que sirven de cebo.

Que nos dirijan a una aplicación para descargarla pero que en lugar de ser la oficial sea una aplicación clonada que se parezca en modo y forma pero que nada tenga que ver con la original y que solo sirva para sus malos propósitos y así un larguísimo etcétera de posibilidades que esconden engaños y más engaños.

Para comprobar los enlaces sean acortados o no así como también archivos que nos pueden resultar sospechosos recomiendo usar virustotal.com y para comprobar la seguridad de los QR por ejemplo Kaspersky QR Scanner.

En este caso práctico Raúl advierte de los riesgos de escanear QR o pinchar en enlaces acortados sin apenas pensar y es que un simple clic puede suponer el principio de un engaño y lo peor de todo es que dicho engaño puede pasar inadvertido a ojos del usuario ya que los malos pueden hacerse con información, datos o instalar algo en el ordenador, smartphone o tablet sin que se perciba nada extraño y poner en entredicho nuestra seguridad en Internet y los dispositivos móviles en abrir y cerrar de ojos.

Así que mucho ojo donde se hace clic o lo que se escanea, no es oro todo lo que reluce así que la aplicación del sentido común debe ir por delante siempre.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Caso práctico de seguridad en Internet: peligros de los QR y URL acortadas», «@id»: «https://www.yolandacorral.com/caso-practico-de-seguridad-en-internet/#videoobject», «datePublished»: «2017-11-02», «description»: «Consejos a modo de caso práctico para no poner en riesgo nuestra seguridad en Internet y dispositivos móviles con el escaneo deQR y los enlaces acortados.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Seguridad-en-Internet-y-dispositivos-moviles-Palabra-de-hacker.jpg», «uploadDate»: «2017-11-02», «duration»: «PT17M15S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/0fyIcgryaV4» }

    2 comentarios en “Caso práctico de seguridad en Internet: peligros de los QR y URL acortadas”

    1. Buenas tardes Yolanda. Como siempre me parece interesante y cada vez me reafirmo más en mi pronóstico. Aunque contamos con personas como vosotros que nos capacita o instruye sobre los riesgos que tenemos acerca de estas tecnologías, seguimos desnudos ante ellas, por lo menos buena parte de la población y siguiendo sin hacer caso a ciertas advertencias.

      1. Por desconocimiento, dejadez, falta de interés y un largo etcétera mucha gente desconoce los riesgos cuando teniendo nociones mínimas, aplicando algunas capas de seguridad y sobre todo sacando a relucir el sentido común, se podrían evitar muchos incidentes de seguridad pero bueno poco a poco se conseguirá que la gente esté más concienciada sobre el tema y conozca la importancia de la seguridad digital. Muchas gracias por tu comentario.

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.