¿Qué es el quishing?
El phishing QR, también conocido como "quishing", es un ciberdelito que se aprovecha de la popularidad de los códigos QR. En esta estafa, los ciberdelincuentes crean códigos QR maliciosos que, al ser escaneados, conducen a sitios web fraudulentos o provocan la descarga de software dañino. Como la gente utiliza cada vez más los códigos QR para diversos fines, como acceder a menús o realizar pagos, pueden escanear sin saberlo estos códigos engañosos, poniendo en peligro su información personal.
Este comportamiento se puso de manifiesto durante la Super Bowl de 2022, cuando el innovador anuncio de Coinbase con códigos QR provocó un aumento significativo de las descargas de la app. Sin embargo, también suscitó preocupación en la comunidad de ciberseguridad, especialmente a la luz de las recientes estafas de Crypto QR en las que los estafadores utilizaban códigos QR para manipular a las víctimas para que retiraran dinero de sus cuentas.
El término "quishing" combina códigos QR y phishing, indicando un método en el que actores maliciosos crean códigos QR falsos para dirigir a los usuarios a sitios falsos, robar información o instalar malware en sus dispositivos. El objetivo es engañar a las personas haciéndoles creer que están interactuando con un código QR inofensivo o necesario, mientras que la verdadera intención es acceder y robar información personal y financiera.
¿Qué es un código QR?
Los códigos QR, o códigos de respuesta rápida, son códigos de barras bidimensionales que pueden almacenar una gran cantidad de datos y ser leídos rápidamente por teléfonos inteligentes o escáneres de códigos de barras. Inventados originalmente por un fabricante de automóviles japonés en 1994 para mejorar la eficiencia en la fabricación, los códigos QR han experimentado un auge en su uso en los últimos años.
Se hicieron especialmente populares durante la pandemia como forma de mantener la continuidad de la actividad empresarial al tiempo que se respetaban las normas de distanciamiento social. Como resultado, los consumidores se han acostumbrado a escanear códigos QR, y los estudios predicen que más de 100 millones de usuarios en Estados Unidos utilizarán sus teléfonos para escanear códigos QR en 2025.
La versatilidad de los códigos QR, que pueden escanearse tanto en pantallas como en papel, ha llevado a su adopción generalizada en diversos sectores, como el procesamiento de pagos, el marketing y la publicidad. Hoy en día, los códigos QR son habituales en espacios públicos como vallas publicitarias y restaurantes, así como en comunicaciones digitales como mensajes de texto, redes sociales y correos electrónicos.
Códigos QR estáticos frente a dinámicos
Los códigos QR pueden clasificarse en dos tipos principales en función de la flexibilidad de sus datos: estáticos y dinámicos.
Los códigos QR estáticos son fijos y no pueden modificarse una vez creados. Suelen utilizarse para compartir información estática, como la URL de un sitio web, datos de contacto o una contraseña Wi-Fi.
En cambio, los códigos QR dinámicos son más flexibles, ya que la información que codifican puede actualizarse o modificarse sin cambiar la apariencia del código. Contienen una URL única que dirige a los usuarios a un servidor donde se almacena la información. Esta adaptabilidad los hace ideales para situaciones en las que el contenido necesita actualizaciones frecuentes, como información sobre eventos, ofertas promocionales o seguimiento de inventarios en tiempo real. Sin embargo, esta misma flexibilidad también supone un riesgo para la seguridad, ya que los estafadores pueden aprovecharse de los códigos QR dinámicos alterando su fuente para redirigir a los usuarios a sitios maliciosos.
¿Qué es el phishing?
El phishing es un método muy utilizado por los ciberdelincuentes para acceder a datos valiosos mediante ataques de ingeniería social, principalmente a través del correo electrónico. Un correo electrónico de phishing típico contiene un enlace o un archivo adjunto que incita al usuario a hacer clic en él o a descargarlo, con el objetivo de robar información confidencial, como datos financieros o credenciales de acceso a la empresa.
Sin embargo, como los atacantes buscan continuamente técnicas más eficaces, han surgido nuevas tácticas de phishing, como el vishing (phishing de voz), el smishing (phishing de SMS) y el quishing (phishing de QR). Estas variantes explotan diferentes canales de comunicación para llevar a cabo prácticas engañosas similares, con el quishing aprovechando específicamente la popularidad y comodidad de los códigos QR para engañar a los usuarios y hacerles revelar su información personal.
¿Cómo funciona el quishing?
El quishing es un tipo de ataque de phishing que utiliza códigos QR para engañar a los usuarios para que visiten sitios web dañinos o descarguen archivos con malware. Los códigos QR pueden albergar diversas fuentes, como enlaces, documentos y portales de pago, lo que los convierte en una herramienta versátil para los ciberdelincuentes. Estos códigos pueden manipularse para que contengan enlaces maliciosos, documentos cargados de virus o portales de pago falsos. Dado que el contenido detrás de un código QR no es visible cuando se muestra como una imagen, proporciona un medio ideal para que los estafadores evadan las medidas de seguridad incrustándolos en los correos electrónicos.
Un ataque de quishing suele comenzar con un ciberdelincuente que crea códigos QR que redirigen a una página de inicio de sesión fraudulenta para recopilar las credenciales de las víctimas o a un sitio que descarga automáticamente malware al escanearlo. Estos códigos QR maliciosos pueden insertarse en mensajes de correo electrónico como imágenes o archivos adjuntos, o pueden colocarse en zonas públicas donde sea probable que la gente los escanee. Una vez escaneado el código QR, puede pedirse a las víctimas que introduzcan información confidencial, como datos de acceso o información bancaria, o puede que descarguen involuntariamente programas o aplicaciones dañinos. En algunos casos, la descarga de contenido malicioso puede producirse automáticamente justo después de escanear el código, comprometiendo aún más el dispositivo de la víctima.
Comprender el QRLJacking: Un caso práctico de quishing
El QRLJacking es una forma sofisticada de quishing que se dirige específicamente a los sistemas de inicio de sesión de respuesta rápida (QRL). QRL es un método de autenticación fácil de usar que permite a los usuarios iniciar sesión en sitios web, aplicaciones o servicios digitales escaneando un código QR con su smartphone. Este método elimina la necesidad de recordar contraseñas complejas, ofreciendo una alternativa cómoda para los usuarios.
Sin embargo, esta comodidad también introduce una vulnerabilidad que los ciberdelincuentes han aprendido a explotar. En un ataque QRLJacking, los hackers inician una sesión en el sitio web o la aplicación objetivo y clonan el código QR legítimo. A continuación, manipulan el código clonado redirigiéndolo a su propio servidor e incrustándolo en una página de inicio de sesión falsa que imita a la original. El código QR malicioso se distribuye a través de correos electrónicos u otros canales, engañando a los usuarios para que lo escaneen e inicien sesión.
El peligro del QRLJacking se hace patente cuando no está activada la autenticación multifactor. En cuanto la víctima escanea el código QR manipulado, el atacante obtiene acceso inmediato a su cuenta. Un ejemplo notable de este ataque se produjo con ING Bank, cuya aplicación permitía a los clientes iniciar sesión en un segundo dispositivo escaneando un código QR. Los ciberdelincuentes se aprovecharon de esta función y manipularon los códigos QR legítimos de la aplicación. Los usuarios involuntarios que fueron víctimas de la estafa descubrieron que importantes cantidades de dinero habían desaparecido de sus cuentas.
¿Cómo detectar un ataque de quishing?
Detectar un ataque de quishing puede resultar complicado debido a la naturaleza inherente de los códigos QR, que ocultan su contenido hasta que son escaneados. A diferencia de los ataques de phishing tradicionales, los correos electrónicos de quishing contienen códigos QR como imágenes sin formato o dentro de archivos adjuntos con extensiones no sospechosas, lo que les permite eludir los detectores de malware y los filtros de correo electrónico. Esto significa que pueden eludir la detección y no ser relegados a la carpeta de spam, dejando a las personas vulnerables a las tácticas de ingeniería social.
El atractivo de los códigos QR para los estafadores reside en su capacidad para despertar la curiosidad y explotar emociones como el miedo y la urgencia. Estos desencadenantes emocionales pueden llevar a víctimas desprevenidas a escanear códigos QR maliciosos destinados a actividades fraudulentas, como el pago de facturas falsas o multas. La comodidad y rapidez de los códigos QR se aprovechan para facilitar estas estafas.
Para protegerse de los fraudes con códigos QR, es importante estar atento y buscar determinadas señales antes de escanear un código QR:
- Códigos QR inesperados o no solicitados: Ten cuidado con los códigos QR que aparecen en correos electrónicos o mensajes no solicitados, sobre todo si te instan a actuar de inmediato.
- Falta de contexto o explicación: Los códigos QR legítimos suelen ir acompañados de explicaciones claras sobre su finalidad. Desconfía de los códigos que carecen de contexto o de una fuente creíble.
- Remitente sospechoso: Comprueba si la dirección de correo electrónico o la información de contacto del remitente presenta algún signo de ilegitimidad, como faltas de ortografía o nombres de dominio inusuales.
- Urgencia o presión: los estafadores suelen crear una sensación de urgencia para incitar a una acción rápida. Sé escéptico ante los mensajes que te presionan para que escanees un código QR inmediatamente.
- Verifique la fuente: Si es posible, verifica la legitimidad del código QR poniéndote en contacto con el supuesto remitente a través de los canales oficiales.
- Utilice un escáner de códigos QR seguro: Algunas aplicaciones de escáner de códigos QR ofrecen funciones de seguridad que comprueban la seguridad del enlace antes de abrirlo. Considera usar una aplicación de este tipo para añadir una capa extra de protección.
Si es consciente de estas señales y actúa con cautela, puede reducir el riesgo de ser víctima de un ataque de quishing y evitar que su información confidencial se vea comprometida.
Así puedes protegerte contra el quishing
Para protegerse contra los ataques de quishing, es importante combinar las estrategias generales de prevención del phishing con medidas específicamente adaptadas a los desafíos únicos que plantean los códigos QR:
- Verifique la fuente del QR: Ten cuidado al escanear códigos QR, sobre todo si proceden de fuentes desconocidas o prometen ofertas demasiado buenas para ser ciertas. Si el código procede de una fuente aparentemente oficial, un amigo o un colega, verifica su autenticidad directamente con ellos o visita su sitio web oficial.
- Utiliza un lector de códigos QR fiable: Aunque la mayoría de los smartphones incorporan funciones de escaneado QR, si optas por una aplicación de terceros, asegúrate de que sea de confianza. Desconfía de las actualizaciones fraudulentas de aplicaciones de escaneo de QR, ya que se sabe que han distribuido malware en el pasado.
- Previsualiza la URL de destino: Si tu aplicación de escaneo lo permite, previsualiza el enlace al que te dirige el código QR antes de acceder a él. Esta precaución ayuda a protegerse de los códigos QR que descargan automáticamente malware al escanearlos.
- Tenga cuidado con la información personal: Después de escanear un código QR, esté atento cuando se le pida que introduzca información personal en una página enlazada. Comprueba dos veces el logotipo y la URL completa del sitio y, si es posible, escribe manualmente la URL original en tu navegador en lugar de utilizar el enlace proporcionado por el código QR.
- Active la autenticación de dos factores: Añadir esta capa extra de seguridad puede evitar el acceso no autorizado a tus cuentas, incluso si un ciberdelincuente obtiene tus credenciales. Ten cuidado al aceptar notificaciones de autenticación en tu teléfono a menos que hayas iniciado un intento de acceso a la cuenta.
- Manténgase informado con la formación sobre seguridad: Actualizar periódicamente tus conocimientos sobre las tácticas de los ciberdelincuentes y cómo responder a posibles ataques puede mantenerte por delante de las amenazas.
Siguiendo estas recomendaciones, puede mejorar su defensa contra los ataques de quishing y proteger su información confidencial para que no caiga en las manos equivocadas.