Multitud de tecnologías han surgido -y siguen surgiendo- con el objetivo de hacer que nuestra interacción con los sistemas informáticos sea un poco más fácil. Varios ejemplos de ello son los conocidos códigos de barras, los más recientes códigos QR y los enlaces acortados.
Por otra parte, quizá también les suenen nombres como Data Matrix, EZCodes, Maxicodes o las más recientes Meshtag, Blippar y Clickable Paper. Cada una de ellas, a su manera, intenta facilitarnos la vida ahorrándonos esos segundos de tener que buscar información o escribir una URL.
Todas ellas poseen un común denominador: hacer más accesible y fácil la interacción del usuario con la tecnología.
Desde el punto de vista de la seguridad, ese es el principal problema de este tipo de soluciones: se pierde de manera drástica el control sobre la acción que estamos realizando. Al tratarse de tecnologías diseñadas para ser entendidas de manera rápida y eficiente por sistemas informáticos, y no por el ojo humano, perdemos el control sobre las mismas. De esta forma, cuando escaneamos un código QR con nuestro dispositivo móvil, confiamos en que nos lleve a la URL que debería. Exactamente lo mismo ocurre cuando pulsamos sobre un enlace acortado.
Recientemente se publicó una PoC sobre Barcode Injection que, si bien no entraña excesiva complejidad, demuestra una vez más los peligros de confiar por defecto en este tipo de soluciones:
One of the demos of our talk "BadBarcode: How to hack a starship with a piece of paper". See you in PacSec 2015. pic.twitter.com/tu8XZjegHP
— Yang Yu (@tombkeeper) November 9, 2015
¿Qué pasaría si, en una parada de autobús, pegamos encima del código QR legítimo uno creado por nosotros?
¿Y si imprimimos un cartel sorteando un supuesto regalo, y ponemos un enlace acortado para participar?
¿O si sustituimos el código de barras de un móvil de alta gama por el que lleva el más barato del mismo modelo?
La combinación de estas tecnologías con un poquito de ingeniería social da lugar a un cóctel muy suculento de posibilidades. Cabe destacar que existen soluciones paliativas que nos permiten obtener cierto control sobre lo que está sucediendo delante de nuestras narices. En el caso de los códigos QR, por ejemplo, ciertas aplicaciones solicitan al usuario la aprobación previa al acceder a la URL escaneada.
Por otra parte, existen multitud de servicios online que nos permiten saber la dirección real de una URL acortada.
Sin embargo, este tipo de situaciones pasan desapercibidas para la mayoría de los usuarios, que tienden a confiar por defecto en este tipo de soluciones.
Por tanto, las posibilidades de que alguien escanee un código QR o pulse sobre un enlace acortado en una página web son muy altas. Lo único que nos salva, de momento, es que este tipo de tecnologías no han llegado a calar del todo en la Sociedad. La solución: CONCIENCIACIÓN, CONCIENCIACIÓN y CONCIENCIACIÓN.
¿Hasta qué punto debemos dejar que el usuario se mantenga al margen de lo que está sucediendo?
mi cara (maligno miniyo)