Nueva amenaza para los smartphones: los códigos QR

A las cientos de amenazas informáticas a las que podemos estar expuestos, se une una nueva: los ataques a través de los códigos QR.

Esta especie de código de barras, que últimamente se ha puesto muy de moda, sirve para almacenar información encriptada que se puede leer a través de diferentes dispositivos. Inventado por la empresa Toyota, que buscaba un sistema de identificación de las piezas que conforman sus vehículos para poder reconocer rápida y automáticamente su procedencia, su uso se ha terminado generalizando: desde publicidad impresa en revistas, hasta en tarjetas de facturación de compañías aéreas.

Unos de los aparatos que pueden traducir estos códigos son los smartphones: con la cámara de estos móviles, grabamos o fotografiamos un código QR y podremos ver la información que contenga en la pantalla. Y al revés: también podemos comprar entradas de cine o billetes de avión, y las empresas que presten el servicio nos enviarán una imagen con este código que podremos mostrar en la pantalla de nuestro teléfono. Gracias a esta función, podremos usar nuestro iPhone, nuestro Android o nuestra BlackBerry como salvoconducto para viajar o disfrutar de una película.

Timo de la aplicación

Pero todas estas posibilidades pueden ser aprovechadas por los amigos de lo ajeno. Según asegura la empresa de seguridad informática Kaspersky, el mes pasado se produjo el primer caso de manipulación malintencionada de un código QR. El incidente tuvo lugar en Rusia. Una web publicó un código QR para que los usuarios pudieran leerlo con su móvil y se pudieran descargar una aplicación llamada ‘Jimm’. En teoría, ‘Jimm’ era un videojuego. Pero los que la descargaron y pusieron en funcionamiento se llevaron una desagradable sorpresa: en realidad se trataba de un programa que enviaba mensajes SMS a un número de tarificación especial que cobraba 5 euros por cada uno.

Aunque este timo ha sido descubierto a tiempo, y no ha sido muy dañino, abre una peligrosa vía para los delincuentes. A través de los códigos QR, se podrían llegar a introducir programas maliciosos que pueden tomar el control de nuestro smartphone o acceder a nuestros datos personales. Tan solo haría falta crear un QR malicioso y ponerlo en un falso anuncio en una web, en la pared de un establecimiento o en una revista.  La gente no sospecharía y lo leería con sus móviles. De esta forma, el software entraría en las memorias de los teléfonos, accediendo a toda la información almacenada, que no es poca. Cada vez más, utilizamos nuestros teléfonos como antaño utilizábamos los ordenadores: para poder acceder a nuestras cuentas bancarias, realizar comprar, guardar fotos… Todos estos datos estarían comprometidos.

¿Cómo protegerse? 
Aunque este caso se puede considerar como una rareza, no es descabellado pensar que pueda generalizarse. La única protección posible tendría que provenir del fabricante del software del teléfono, que crease algún tipo de protección para que no se puedan enviar ni mensajes de texto de forma automática, ni a números que, o no estén en la agenda, o que el usuario no haya introducido por sí mismo. También, se debe proteger al máximo el contenido de la memoria del teléfono, que, como decíamos antes, cada vez contiene más datos personales.

Por supuesto, otra forma de protección muy efectiva es el sentido común: si solo ‘leemos’ con nuestro móvil códigos QR que vengan de una fuente fiable, y no los que encontremos por páginas web sospechosas o que nos ofrezcan ofertas exageradas, estaremos a salvo.

Perder el DNI o el riesgo de convertirse sin saberlo en ‘narco’, moroso o casado

Carmen espera en la cola de una tienda para pagar un par de camisetas. Su bebé de poco más de dos años la acompaña y un par de chicas jóvenes, a su lado, juguetean con el pequeño. Minutos después se marchan. Es el momento de pagar y Carmen se dispone a sacar su cartera pero…¿dónde está? De repente, se da cuenta. Las dos chicas que han jugado con su hijo han aprovechado su distracción para llevarse su monedero y con él, el dinero, las tarjetas de crédito y su DNI.

Lo que a priori parece un incómodo incidente –el robo de un DNI, pasaporte u otro documento de identificación- puede acabar convirtiéndose en toda una pesadilla si quien se hace con la documentación decide utilizarla para usurpar la identidad de la víctima y actuar al amparo del anonimato y la impunidad que esto le brinda.

Algo así debió sentir Óscar Sánchez, un lavacoches de Montgat (Barcelona), que el pasado mes de mayo fue condenado a 14 años de prisión en Italia acusado de ser el jefe de una red de narcotráfico entre España y el país transalpino. El origen de la historia se remonta al año 2002 cuando, como en el caso de Carmen, una joven se acercó a Sánchez y le robó su DNI; ocho años después, la Guardia Civil lo detenía atendiendo a la orden de arresto procedente de Roma.

«Criminales moldavos compran un pasaporte en Rumanía para moverse por países europeos. Se puede llegar a juzgar a un ciudadano rumano que ni siquiera haya estado en España»

Según las pruebas de la defensa de Sánchez, el verdadero responsable del delito es Marcelo Roberto Marín, un mafioso uruguayo con cierto parecido físico a Óscar que no dudó en suplantar la identidad del español para protegerse en caso de ser descubierto.

Los grupos organizados de la Europa del este recurren a menudo a este tipo de usurpación, especialmente desde la entrada de Bulgaria y Rumanía en la Unión Europea. «Acreditan su identidad con pasaportes extranjeros de ciudadanos comunitarios», explican fuentes policiales. «Es el caso de muchos criminales moldavos, que compran un pasaporte en Rumanía para moverse por otros países europeos como ciudadanos comunitarios. Cuando actúan y son detenidos, como la mayoría de las veces son puestos en libertad con cargos a la espera de juicio, desaparecen, y se juzga a un ciudadano rumano que puede que ni siquiera haya estado en España«, aseguran.

La asociación con la mafia y el crimen organizado es una de las derivas más graves que puede tomar la suplantación de identidad a partir del robo de DNI, pero no la única. Algunas son más conocidas, como la contratación de cuentas bancarias y créditos que quedan sin pagar a nombre de la persona afectada, o la compra-venta on-line en portales que no cuentan con sistemas de pago seguro.

En España también se han registrado casos de individuos que, utilizando la identidad de ciudadanos con nacionalidad española, han contraído matrimonio con personas extranjeras a cambio de una elevada suma de dinero. Estas últimas, con el tiempo, pueden llegar a conseguir un permiso de residencia y de trabajo, mientras que el delincuente desaparece con el bolsillo lleno. Mientras tanto, en otro punto del mundo, una persona se ha casado sin ni siquiera haber pronunciado el ‘sí, quiero’.

Otras situaciones, sin embargo, empiezan a ser cada vez más frecuentes. Según fuentes policiales, se ha detectado a ciudadanos que, utilizando la documentación y la identidad de otra persona, han contratado varias líneas telefónicas para convertir sus viviendas en una especie de locutorio clandestino cuyas facturas, abultadas en la mayoría de los casos, se reclaman a la víctima de la usurpación.

Ha aumentado la contratación fraudulenta de líneas de ADSL empleadas para enviar ataques a administraciones públicas y empresas.

También ha aumentado la contratación fraudulenta de líneas de ADSLempleadas para enviar ataques a administraciones públicas y empresas. Una forma de ‘ciberterrorismo’ que busca obtener información confidencial o saturar el servicio público.

¿Se puede evitar?

Acceder a los datos de otras personas para hacerse pasar por ellas a veces es tan fácil como buscar en internet entre los numerosos anuncios de venta de documentos de identidad y pasaportes que circulan por la red. O bien, se puede acudir al mercado negro, donde grupos perfectamente organizados comercian con ellos por un precio mínimo que está en torno a los 2.000 euros; desde esa cifra en adelante, no hay límite.

La facilidad para acceder a estos datos hace casi imposible impedir que otra persona suplante nuestra identidad si cuenta con documentos oficiales y válidos. También es muy complicado averiguar cuándo se está produciendo una usurpación. En España no existe ningún tipo de mecanismo ni registro de documentos extraviados que, en caso de duda, permita consultar si un documento en cuestión ha sido denunciado como robado, perdido o adulterado. Pese a ello, es fundamental denunciar la pérdida o robo desde el primer momento porque, en caso de delito, podría ser una pieza fundamental para probar la inocencia.

En la red

Con el desarrollo de internet y las redes sociales, la utilización de datos personales para crear perfiles con la identidad de otra persona también se ha expandido. Desde la Agencia Española de Protección de Datos (AEPD) aseguran que han registrado un incremento de las reclamaciones vinculadas a la difusión de datos personales sin el consentimiento de sus titulares, especialmente en las redes sociales.

El pasado mes de julio, la propia agencia sancionaba con 2.000 euros de multa a una usuaria que utilizó los datos de otra mujer para crear un perfil falso en la red social Badoo. La afectada comenzó a sospechar después de recibir varias llamadas de hombres atraídos por su perfil; un perfil que incluía el mensaje «quiero quedar y follar con un chico 22-40», junto al número de teléfono, la foto y la descripción de las supuestas preferencias sexuales de la víctima. La colaboración de Badoo, que facilitó la IP desde la que se había creado el perfil, permitió a la AEDP averiguar quién estaba detrás del delito.

La responsable no era otra que la entonces pareja de un ex novio de la denunciante que, tras verse descubierta, tuvo que hacer frente a la multa de 2.000 euros.

La cooperación de la compañía fue fundamental en este caso paradescubrir quién se encontraba detrás de la usurpación, aunque, tal y como resaltan desde la AEDP, las redes sociales deberían disponer de herramientas que impidan la suplantación de la identidad de una persona por parte de sus usuarios. De manera real o de manera virtual, toda precaución es poca para evitar que lo que comienza como la anecdótica sustracción de un DNI acabe robando su identidad y su propia vida.

¿Tienes una de las peores 25 contraseñas de Internet?

SplashData, una compañía de desarrollo de herramientas de seguridad de contraseñas de teléfonos móviles, ha publicado una lista con las contraseñas más inseguras que han encontrado a lo largo de 2011.

El criterio para elegirlas ha sido muy sencillo: se trata de aquellas contraseñas más fáciles de romper, o incluso de adivinar por pura suerte. Es un problema muy habitual en Internet: nos preocupamos por la seguridad del PIN de nuestro móvil o por el de nuestra cuenta bancaria… y sin embargo apenas prestamos atención a la contraseña de nuestro correo electrónico, donde muy a menudo guardamos datos tan comprometidos como los que hemos mencionado.

Atención a la lista en cuestión, con algunas hilarantes por lo ingenuas (como «qwerty» o «12345») y otras realmente curiosas y contradictorias como «letmein» («déjame entrar») o «trustno1» («no confíes en nadie»).

1. password
2. 123456
3. 12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. passw0rd
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football

¿Cómo aumentar la seguridad de nuestras cuentas?

Lo cierto es que el tema de la seguridad es complejo, sobre todo ahora que es muy habitual gestionar varias cuentas de correo, perfil en Facebook, cuenta en Twitter, quizá varios foros… Todo usuario de Internet termina manejando una docena de servicios que requieren de contraseña de autentificación. Cada uno se enfrenta a la cuestión de formas diferentes: hay quien efectivamente utiliza diferentes claves para cada servicio (por lo que más le vale tener buena memoria o tener una libreta donde apuntarlos guardada en un lugar seguro); también los hay que eligen una sola contraseña lo más segura posible para todas las cuentas. Esta última opción es la menos recomendable: con que sólo una de esas cuentas vea comprometida su seguridad, tendremos que pasar el tedioso proceso de cambiar una a una un buen puñado de contraseñas.

Así pues, ¿cómo hacer para aumentar la seguridad de nuestras claves en Internet? Aquí van algunos consejos muy sencillos que pueden servir para que nadie pueda robarnos con facilidad nuestras contraseñas.

1. No le digas tus contraseñas a nadie, o al menos a nadie que no sea de máxima confianza. Ni siquiera la de una cuenta de un  foro; podrías estar utilizando esa misma clave en otro servicio de mayor importancia y no recordarlo en ese momento. Parece una obviedad, pero es bastante habitual ver a la gente dando sus claves del correo alegremente.

2. Desactiva la opción de ‘Recordar contraseña’, sobre todo si estás en un ordenador que no es el tuyo, y cierra la sesión de todo servicio con contraseña al dejar el PC. Es muy normal sentarse al teclado en, por ejemplo, una biblioteca, y encontrarse el perfil de Facebook del anterior usuario abierto…

3. No actives la opción de preguntas de seguridad para recuperar la contraseña. En muchos servicios de correo electrónico, como Hotmail, se ofrece la opción de responder una «pregunta de seguridad» sobre información personal para recuperar o cambiar la contraseña. Con la cantidad de información privada que publicamos actualmente en redes sociales, no sería nada raro que alguien pudiera averiguar cómo se llama tu perro o el apellido de tu madre.

4. Elige una buena contraseña. A estas alturas es una sugerencia obvia, pero no todo el mundo sabe distinguir una buena clave de una mala. En teoría, para que una clave se considere segura debe ser una combinación larga de letras y números con algunas mayúsculas repartidas (algo impronunciable, tipo LK45ljxnw4Djd678). Este tipo de claves tienen un gran problema: son imposibles de memorizar y difíciles de teclear, lo que nos obliga a llevarlas escrita en un papelito y mantenerlas registradas en el ordenador, por lo cual es fácil perderlas… Hay una solución sencilla y que, según muchos analistas de seguridad, es aún más difícil de romper que una clave de este tipo: elige una frase de un libro o un verso de un poema, algo que tenga sentido. A las herramientas que rompen contraseñas por fuerza bruta (probando combinaciones una y otra vez) les cuesta mucho más trabajo acertar con una frase con sentido gramatical que con una combinación al azar… Y es mucho más fácil (y más bonito) memorizar una frase como «Escrito está en mi alma vuestro gesto» (del Soneto V de Garcilaso de la Vega) que la contraseña del WiFi de nuestro router… Para tener una contraseña para cada cuenta basta con recordar la página de la que tomaste la primera frase para cada contraseña; un dato que, además, puedes tener apuntado sin ningún problema: ¡sólo tú sabrás de qué libro salen las frases!

Tan sólo con seguir estos sencillos consejos tus contraseñas ganarán en seguridad… ¡Y nunca saldrás en el ránking de las peores contraseñas de Internet!

La engañosa ‘privacidad’ de las fotos en Facebook

‘Robar’ una foto en Facebook es muy fácil: lo único que hay que hacer es arrastrar la imagen con el puntero a la barra de navegación (o abrir en ventana nueva) y así se puede obtener la dirección de la misma. Cualquiera -tenga o no cuenta en la red social- puede verla. No se trata de un ‘agujero’ de seguridad, sino un problema de privacidad: sucede porque la compañía aloja las imágenes en servidores públicos de fotos contratados para ello.

«Si tienes un perfil privado con fotos privadas, al arrastrar una foto a la barra de navegacion tendrás la dirección de la foto», comenta Iván, ingeniero informático, al Navegante a través de un correo. «Si copias y pegas esa dirección obtenida, cualquiera podrá acceder desde fuera de tu perfil sin autorización para verla», apunta el lector. «Esto permite que terceros usuarios accedan sin permiso -por el motivo que sea- a fotografías privadas tuyas para las que no tienen acceso», concluye.

Arriba, captura de pantalla de una foto en un álbum privado en Facebook; Abajo, la misma imagen descargada directamente del servidor contratado por la red social.
Se ha podido comprobar, que efectivamente, al abrir un perfil de Facebook en el navegador Chrome se puede obtener de cada foto privada su dirección URL. La prueba realizada en Firefox da el mismo resultado -aunque no en todas las fotos- y con independencia del nivel de privacidad del usuario (sean fotos públicas, con acceso sólo para ‘amigos’ o con accesio para ‘amigos de mis amigos’). En Internet Explorer 8, aparentemente el acceso no es posible, aunque sí en Internet Explorer 6.

Ojo, algo similar sucede con otras redes sociales. Tuenti también tiene contratados servicio de alojamiento público de imágenes, aunque protege mejor el acceso en general. En primer lugar, es más complicado acceder a una foto concreta debido al carácter cerrado de esta red social, a la que se accede por invitación. Y en segundo lugar, es un poco más complicado acceder a la URL de una foto determinada (a menudo no basta con guardar la dirección de la foto, abrirla en pestaña nueva o arrastrarla simplemente a la barra de direcciones), aunque siempre se puede ‘peinar’ el código fuente de la página para obtener dicha dirección.

¿Por qué sucede esto?

Esta manera de obtener la dirección de la imagen en cuestión se da independientemente de la configuración de privacidad del usuario. ¿Cómo es posible?

La URL obtenida y que apunta a la imagen no está vinculada directamente a ‘facebook.com’ sino que pertenece a un servidor externo a la compañía, contratado para alojar datos (‘hosting’).

Un post de agosto de este año de Morematterwithlessart.com apunta -con razón- que «la configuración de privacidad de los usuarios (de Facebook) no se aplica a los servidores que alojan la foto, sólo sirven para limitar quién puede ver el enlace a la foto en el servidor de fotos».

Es decir, todas las fotos están en realidad a disposición del público sin tener en cuenta la configuración de la privacidad individual elegida por el usuario.

Por contarlo de forma muy gráfica, añade el post que «si has subido una foto suya fumando una cachimba y bebiendo con un amigo menor de edad pensando que tu configuración de privacidad impediría a terceros no deseados verla, estás muy equivocado; puede ser difícil de encontrar, pero al final, esa foto está disponible para cualquier persona con una conexión a Internet».

Si no quieres que circule tu foto, no la cuelgues

La compañía de seguridad informática Panda, contactada por el Navegante, recuerda que la publicación de fotos que provienen de perfiles de redes sociales por parte de terceros puede llegar a ser incluso más fácil. «Sólo hay que hacer una captura de pantalla de una foto en cuestión para poder publicarla en otro sitio», comenta un portavoz.

De hecho, en Panda dan un paso más a la hora de aconsejar sobre la privacidad en la Red: «Si no quieres que circulen tus fotos por Internet, no las cuelgues ahí».

Facebook , la red social más grande del mundo con más de 800 millones de usuarios en todo el mundo, ha tenido en los últimos años varios problemas con respecto a la privacidad de los usuarios. Uno de los más sonados tuvo lugar el pasado año, cuando un error en la forma en que Facebook permite previsualizar los ajustes de privacidad daba acceso a cualquier usuario a los chats de sus amigos en tiempo real, así como acceder a las solicitudes de amistad de sus amigos que estén pendientes de confirmación

Ya en 2007 tuvo que dar marcha atrás después de lanzar una polémica herramienta publicitaria llamada Beacon, acusada de indiscreta al informar de compras y otras actividades a los contactos de los usuarios sin permiso.