phishing
No es la primera vez que escribimos sobre el uso de códigos QR en los ataques de phishing. Nuestra pasarela de correo segura viene, incluso, con una tecnología que puede leer estos códigos (no solo si llegan en el cuerpo de los mensajes, sino también en los adjuntos) para luego analizar los enlaces que puedan contener. Aun con esto, los atacantes insisten en incluir códigos QR en los mensajes que envían a sus víctimas. En el último tiempo, nos percatamos de algo: con cada vez más frecuencia, los códigos QR recibidos son imágenes formadas con caracteres. Estas imágenes se conocen como “arte ASCII”. La novedad tiene un tinte irónico: en el pasado, los phishers recurrían a las imágenes para ocultar en ellas sus enlaces y sortear, así, los mecanismos de análisis de direcciones; ahora, han regresado al texto para tratar de burlar el análisis de imágenes. Pero este “renacer del texto” tiene algunas peculiaridades.
El arte perdido del ASCII y cómo lo usan los atacantes
Hoy parece increíble, pero hubo un tiempo en el que las computadoras no podían mostrar gráficos. Así, las primeras imágenes de computadora se creaban usando caracteres de texto. Tras su adopción en 1963, los caracteres del estándar ASCII (siglas en inglés para “Código Estándar Estadounidense para el Intercambio de Información”) se usaron para garantizar que las ilustraciones así creadas se vieran iguales en computadoras diferentes. Con el tiempo, comenzaron a usarse otros símbolos de texto para crear imágenes (por ejemplo, los caracteres del conjunto ampliado Unicode), pero se mantuvo el nombre “gráficos ASCII” para referirse a esta forma de arte en general. Más de un artista reconocido trabajó con este medio. Los primeros sitios web se diseñaron con arte ASCII y, en sus albores, incluso la pornografía informática se representaba con caracteres de texto.
El arte ASCII perdió vigencia según avanzó la tecnología de visualización de imágenes. Resurgió con ímpetu en la década del 2000, durante el auge del spam por correo. En aquel entonces, los spammers usaban el arte ASCII principalmente para disfrazar palabras que indicaban, a las claras, que el mensaje era no deseado y que fácilmente disparaban cualquier filtro de correo. Las ilustraciones ASCII, asimismo, eran más fáciles de procesar para los servidores de correo. En esos tiempos, muchos usuarios de Internet pagaban según la cantidad de tráfico que usaban y era común que deshabilitaran la carga de imágenes en sus clientes de correo electrónico. Nosotros, por supuesto, sumamos entonces tecnologías que bloqueaban el arte ASCII en nuestras soluciones de seguridad para el correo.
Hoy el arte ASCII ha tenido un nuevo renacer, esta vez de la mano de gente que pretende burlar las tecnologías diseñadas para reconocer códigos QR incorporados en las imágenes.
¿Qué aspecto tiene el phishing con arte ASCII?
A continuación mostramos un ejemplo reciente. El pretexto del correo es bastante usual: alguien dice haberle enviado a la víctima un documento confidencial a través de DocuSign y, para abrirlo, el destinatario debe escanear el código QR del mensaje, visitar un sitio web e ingresar las credenciales con las que inicia sesión en su empresa.
Un código QR hecho con caracteres Unicode. Censuramos una parte del código para que no se pueda escanear el vínculo malicioso.
Si siente que el código se ve extraño, no se equivoca. Tiene un aspecto particular, principalmente, porque está dibujado bloque por bloque con elementos pseudográficos. Si presta atención, verá incluso espacios entre las líneas. En realidad, el mensaje no contiene una imagen real. Si se lo mira “tras bambalinas”, el código QR se ve así:
Arte ASCII en el código del correo electrónico
Así las cosas, los analizadores de vínculos no pueden ver el enlace y las herramientas para analizar imágenes no pueden ver la URL oculta en el código QR. En consecuencia, los atacantes dan por seguro que el correo de phishing llegará a la víctima sin problemas. Se equivocan. Lamentamos desilusionarlos, pero aún recordamos cómo se bloquea el arte ASCII.
¿Acaso es normal que un correo contenga un código QR?
En teoría, hay casos en los que sí tiene sentido usar un código QR. Es una forma bastante práctica de compartir un contacto, una ubicación, un vínculo a una aplicación móvil o un ajuste de configuración. En resumen, los códigos funcionan bien para información que debe entregarse específicamente al dispositivo móvil de un destinatario.
¿Pero pedirle a alguien que, código QR mediante, ingrese sus credenciales corporativas en su dispositivo móvil? Eso dispara todas las alarmas. Y si, sumado a lo anterior, el código QR se generó usando arte ASCII, no hay mucho que pensar: se está ante un intento de phishing o una treta para que el destinatario visite una URL maliciosa. El único propósito de tal estrategia es eludir un control de seguridad.
¿Qué opciones hay para protegerse?
Para evitar que los correos electrónicos de phishing ―contengan o no arte ASCII― lleguen a las bandejas de entrada de los empleados, recomendamos usar una pasarela de correo electrónico segura con prestaciones antiphishing avanzadas. Como capa de defensa adicional, pueden instalarse soluciones de seguridad en todos endpoints con acceso a Internet.
También sugerimos realizar capacitaciones de concientización en seguridad periódicas para educar a los empleados sobre las tácticas de phishing modernas. Merece la pena detenerse en el arte ASCII para explicar que, de encontrarse una ilustración de ese tipo en un correo electrónico moderno, puede ser indicio de un ataque de phishing potencial.
