Pixel art que nos merecemos: nuevo phishing con estética noventera que no falla.
Un código QR en un correo electrónico puede parecer normal, pero ahora puede generarse con HTML y eludir las protecciones.
Los ciberdelincuentes encontraron una forma inesperada de eludir la protección de los servicios de correo frente a códigos QR maliciosos, y lo hicieron de manera bastante ingeniosa. En lugar de las imágenes habituales, comenzaron a enviar códigos QR totalmente compuestos por código HTML. Como resultado, los correos parecen inofensivos y los sistemas de seguridad a menudo simplemente no perciben que se trata de un ataque de phishing oculto.
La nueva campaña fue observada por especialistas del Internet Storm Center en SANS Technology Institute. A finales de diciembre, del 22 al 26, en sus bandejas de entrada llegó una serie de correos de phishing en los que los códigos QR se «dibujaban» con tablas HTML en lugar de adjuntarse como imágenes, como suele ocurrir.
Código QR formado por tablas HTML (Internet Storm Center)
El truco resultó sorprendentemente eficaz. La mayoría de los mecanismos de protección existentes buscan códigos QR precisamente en imágenes, y aquí no había nada que analizar de forma habitual. Como señalan los especialistas, esta técnica permite eludir la detección automática y el análisis de códigos QR en correos electrónicos.
Los mensajes en sí eran lo más sencillos posible. Unas pocas líneas de texto y el código QR, sin detalles superfluos. Se convencía a los destinatarios de que escanearan el código para supuestamente ver y firmar un documento. Visualmente todo parecía creíble y no despertaba sospechas.
Técnicamente, cada píxel del código QR era una celda HTML independiente de 35 por 35. El fondo de las celdas se pintaba de negro o blanco, formando el patrón habitual. Para el usuario, ese código se veía casi normal, salvo porque estaba algo comprimido en vertical.
Tras escanear el código QR, la víctima era dirigida a un sitio de phishing destinado a robar credenciales. Aunque el método en sí no puede considerarse nuevo, su uso en ataques reales vuelve a mostrar lo peligroso que es confiar en suposiciones establecidas sobre cómo se entrega el contenido malicioso.
Los autores del estudio subrayan que no es posible detener todas las amenazas solo con medidas técnicas, sobre todo cuando los ataques combinan tecnologías e ingeniería social. En ese juego del gato y el ratón, los atacantes buscan y encuentran constantemente nuevas lagunas, y la historia de los códigos QR hechos con HTML se ha convertido en otro ejemplo ilustrativo.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!