Quishing: Phishing con Código QR

Quishing es el uso de códigos QR fraudulentos para plantar malware en tu dispositivo y acceder a datos personales.

Descubre los peligros del phishing con QR (Quishing): Aprende a identificarlo y prevenirlo, asegurando tu seguridad digital y privacidad.

Antivirus gratuito

¿Qué es el quishing?

El phishing con QR, también conocido como ‘quishing’, es un cibercrimen que explota la popularidad de los códigos QR. En esta estafa, los ciberdelincuentes crean códigos QR maliciosos que, al ser escaneados, conducen a sitios web fraudulentos o incitan descargas de software dañino. A medida que las personas utilizan cada vez más los códigos QR para diversos propósitos, como acceder a menús o realizar pagos, pueden sin saberlo escanear estos códigos engañosos, poniendo en riesgo su información personal.

Este comportamiento se destacó durante el Super Bowl de 2022 cuando el innovador anuncio con código QR de Coinbase llevó a un aumento significativo en las descargas de su aplicación. Sin embargo, también generó preocupaciones en la comunidad de ciberseguridad, especialmente a la luz de las recientes estafas de Crypto QR, donde los estafadores utilizaron códigos QR para manipular a las víctimas y que sacaran dinero de sus cuentas.

El término “quishing” combina códigos QR y phishing, indicando un método donde los actores maliciosos crean códigos QR falsos para dirigir a los usuarios a sitios suplantados, robar información o instalar malware en sus dispositivos. El objetivo es engañar a las personas haciéndoles creer que están interactuando con un código QR inofensivo o necesario, mientras que la verdadera intención es acceder y robar información personal y financiera.

¿Qué es un código QR?

Los códigos QR, o códigos de respuesta rápida, son códigos de barras bidimensionales que pueden almacenar una gran cantidad de datos y leerse rápidamente con smartphones o escáneres de códigos de barras. Originalmente inventados por un fabricante de automóviles japonés en 1994 para mejorar la eficiencia en la fabricación, los códigos QR han visto un aumento en su uso en los últimos años.

Se hicieron particularmente populares durante la pandemia como una forma de mantener la continuidad de los negocios mientras se adherían a las reglas de distanciamiento social. Como resultado, los consumidores se han acostumbrado a escanear códigos QR, con estudios que predicen que más de 100 millones de usuarios en los EE. UU. usarán sus teléfonos para escanear códigos QR para 2025.

La versatilidad de los códigos QR, que se pueden escanear tanto de pantallas como de papel, ha llevado a su adopción generalizada en diversas industrias, incluyendo el procesamiento de pagos, marketing y publicidad. Hoy en día, los códigos QR se encuentran comúnmente en espacios públicos como vallas publicitarias y restaurantes, así como en comunicaciones digitales como mensajes de texto, redes sociales y correos electrónicos.

Códigos QR estáticos vs dinámicos

Los códigos QR se pueden categorizar en dos tipos principales según su flexibilidad de datos: estáticos y dinámicos.

Los códigos QR estáticos son fijos y no se pueden alterar una vez creados. Se utilizan comúnmente para compartir información estática como la URL de un sitio web, detalles de contacto o una contraseña de Wi-Fi.

Los códigos QR dinámicos, en contraste, son más flexibles ya que la información que codifican se puede actualizar o cambiar sin cambiar la apariencia del código. Contienen una URL única que dirige a los usuarios a un servidor donde se almacena la información. Esta adaptabilidad los hace ideales para situaciones donde el contenido necesita actualizaciones frecuentes, como información de eventos, ofertas promocionales o seguimiento de inventario en tiempo real. Sin embargo, esta misma flexibilidad también representa un riesgo de seguridad, ya que los estafadores pueden explotar los códigos QR dinámicos al alterar su fuente para redirigir a los usuarios a sitios maliciosos.

¿Qué es el phishing?

El phishing es un método ampliamente utilizado por los ciberdelincuentes para acceder a datos valiosos a través de ataques de ingeniería social, principalmente a través de correos electrónicos. Un correo electrónico de phishing típico contiene un enlace o adjunto, incitando al usuario a hacer clic o descargarlo, con el objetivo de robar información sensible como datos financieros o credenciales de inicio de sesión de empresas.

Sin embargo, a medida que los atacantes buscan continuamente técnicas más efectivas, han surgido nuevas tácticas de phishing, incluyendo vishing (phishing por voz), smishing (phishing por SMS), y quishing (phishing por QR). Estas variaciones explotan diferentes canales de comunicación para llevar a cabo prácticas engañosas similares, con el quishing aprovechando específicamente la popularidad y conveniencia de los códigos QR para engañar a los usuarios a revelar su información personal.

¿Cómo funciona el quishing?

El quishing es un tipo de ataque de phishing que utiliza códigos QR para engañar a las personas a visitar sitios web dañinos o descargar archivos que contienen malware. Los códigos QR pueden albergar varias fuentes, como enlaces, documentos y portales de pago, lo que los convierte en una herramienta versátil para los ciberdelincuentes. Estos códigos pueden ser manipulados para contener enlaces maliciosos, documentos infectados por virus o portales de pago falsos. Dado que el contenido detrás de un código QR no es visible cuando se muestra como una imagen, proporciona un medio ideal para que los estafadores evadan las medidas de seguridad incorporándolos en correos electrónicos.

Un ataque de quishing generalmente comienza con un ciberdelincuente creando códigos QR que redirigen a una página de inicio de sesión fraudulenta para recopilar credenciales de las víctimas o a un sitio que descarga malware automáticamente al ser escaneado. Estos códigos QR maliciosos pueden ser insertados en correos electrónicos como imágenes o adjuntos, o pueden ser colocados en áreas públicas donde la gente probablemente los escanee. Una vez escaneado el código QR, es posible que las víctimas sean incitadas a ingresar información sensible como datos de inicio de sesión o bancaria, o que descarguen inadvertidamente software o aplicaciones dañinas. En algunos casos, la descarga de contenido malicioso puede ocurrir automáticamente justo después de escanear el código, comprometiendo aún más el dispositivo de la víctima.

Entendiendo el QRLJacking: Un estudio de caso en quishing

El QRLJacking es una forma sofisticada de quishing que específicamente ataca los sistemas de Inicio de Sesión con Código de Respuesta Rápida (QRL). El QRL es un método de autenticación fácil de usar que permite a los usuarios iniciar sesión en sitios web, aplicaciones o servicios digitales escaneando un código QR con su smartphone. Este método elimina la necesidad de recordar contraseñas complejas, ofreciendo una alternativa conveniente para los usuarios.

Sin embargo, esta comodidad también introduce una vulnerabilidad que los ciberdelincuentes han aprendido a explotar. En un ataque QRLJacking, los hackers inician una sesión en el sitio web o la aplicación objetivo y clonan el código QR legítimo. A continuación, manipulan el código clonado redirigiéndolo a su propio servidor e incrustándolo en una página de inicio de sesión falsa que imita a la original. El código QR malicioso se distribuye a través de correos electrónicos u otros canales, engañando a los usuarios para que lo escaneen e inicien sesión.

El peligro del QRLJacking se hace evidente cuando no se activa la autenticación de dos factores. Tan pronto como la víctima escanea el código QR manipulado, el atacante obtiene acceso inmediato a la cuenta de la víctima. Un ejemplo notable de este ataque ocurrió con ING Bank, cuya aplicación permitía a los clientes iniciar sesión en un segundo dispositivo escaneando un código QR. Los ciberdelincuentes explotaron esta función, manipulando códigos QR legítimos dentro de la aplicación. Los usuarios desprevenidos que cayeron en la estafa descubrieron que cantidades significativas de dinero habían desaparecido de sus cuentas.

¿Cómo puedes detectar un ataque de quishing?

Detectar un ataque de quishing puede ser desafiante debido a la naturaleza inherente de los códigos QR, que ocultan su contenido hasta ser escaneados. A diferencia de los ataques de phishing tradicionales, los correos electrónicos de quishing contienen códigos QR como imágenes simples o dentro de adjuntos con extensiones no sospechosas, permitiéndoles eludir los detectores de malware y filtros de correo electrónico. Esto significa que pueden evadir la detección y no ser relegados a la carpeta de spam, dejando vulnerables a las personas a tácticas de ingeniería social.

El atractivo de los códigos QR para los estafadores radica en su capacidad para despertar la curiosidad y explotar emociones como el miedo y la urgencia. Estos desencadenantes emocionales pueden llevar a víctimas desprevenidas a escanear códigos QR maliciosos destinados a actividades fraudulentas, como pagar facturas o multas falsas. La conveniencia y rapidez de los códigos QR se explotan para facilitar estas estafas.

Para protegerte del fraude con códigos QR, es importante estar atento y buscar ciertos signos antes de escanear un código QR:

  • Códigos QR inesperados o no solicitados: Sé cauteloso con los códigos QR que aparecen en correos electrónicos o mensajes no solicitados, especialmente si te incitan a tomar medidas inmediatas.
  • Falta de contexto o explicación: Los códigos QR legítimos suelen ir acompañados de explicaciones claras sobre su propósito. Desconfía de los códigos que carecen de contexto o de una fuente creíble.
  • Remitente sospechoso: Verifica la dirección de correo electrónico o la información de contacto del remitente buscando signos de ilegitimidad, como errores de ortografía o nombres de dominio inusuales.
  • Urgencia o presión: Los estafadores a menudo crean un sentido de urgencia para incitar a una acción rápida. Sé escéptico frente a mensajes que te presionan para escanear un código QR inmediatamente.
  • Verifica la fuente: Si es posible, verifica la legitimidad del código QR contactando al supuesto remitente a través de canales oficiales.
  • Usa un escáner de códigos QR seguro: Algunas aplicaciones de escaneo de códigos QR ofrecen características de seguridad que revisan la seguridad del enlace antes de abrirlo. Considera usar una de estas aplicaciones para agregar una capa extra de protección.

Al estar consciente de estos signos y ejercer cautela, puedes reducir el riesgo de caer víctima de un ataque de quishing y proteger tu información sensible de ser comprometida.

Así es como puedes protegerte contra el quishing

Para protegerse contra ataques de quishing, es importante combinar estrategias generales de prevención de phishing con medidas específicamente adaptadas a los desafíos únicos que presentan los códigos QR:

  1. Verifica la fuente del QR: Ejercita precaución al escanear códigos QR, particularmente de fuentes desconocidas o aquellas que prometen ofertas demasiado buenas para ser verdad. Si el código proviene de una fuente aparentemente oficial, un amigo o un colega, verifica su autenticidad directamente con ellos o visita su sitio web oficial.
  2. Usa un lector de códigos QR confiable: Aunque la mayoría de los smartphones tienen capacidades de escaneo de QR incorporadas, si optas por una aplicación de terceros, asegúrate de que sea de buena reputación. Ten cuidado con las actualizaciones fraudulentas para aplicaciones de escaneo de QR, ya que han sido conocidas por distribuir malware en el pasado.
  3. Previsualiza la URL de destino: Si tu aplicación de escaneo lo permite, previsualiza el enlace al que el código QR te dirige antes de acceder a él. Esta precaución ayuda a proteger contra códigos QR que descargan automáticamente malware al escanearlos.
  4. Ten cuidado con la información personal: Después de escanear un código QR, sé vigilante cuando te pidan que ingreses información personal en una página vinculada. Verifica el logo y la URL completa del sitio, y si es posible, escribe manualmente la URL original en tu navegador en lugar de usar el enlace proporcionado por el código QR.
  5. Habilita la autenticación de dos factores: Agregar esta capa extra de seguridad puede prevenir el acceso no autorizado a tus cuentas, incluso si un ciberdelincuente obtiene tus credenciales. Ten cuidado al aceptar notificaciones de autenticación en tu teléfono, a menos que hayas iniciado un intento de acceso a tu cuenta.
  6. Mantente informado con entrenamiento en concienciación sobre seguridad: Actualizar regularmente tu conocimiento sobre las tácticas de ciberdelincuentes y cómo responder a ataques potenciales puede mantenerte por delante de las amenazas.

Siguiendo estas recomendaciones, puedes mejorar tu defensa contra los ataques de quishing y proteger tu información sensible de caer en manos equivocadas.

¿Qué es un código QR?

¿Qué es el phishing?

¿Qué es la ingeniería social?

¿Qué es la huella digital?

¿Qué es el spear phishing?

¿Qué es catfishing?

¿Qué es el correo de phishing?

Preguntas frecuentes

¿Por qué son arriesgados los códigos QR?

Los códigos QR pueden ser utilizados por ciberdelincuentes para acciones maliciosas, como incrustar malware en los códigos. Al ser escaneados, estos códigos QR comprometidos pueden infectar dispositivos con varios tipos de malware, incluidos virus, gusanos, Troyanos, spyware, y adware que pueden llevar al robo de información personal, acceso no autorizado a datos sensibles o ataques de phishing.