Quishing Peligrosos Códigos QR de los Estafadores
Quishing Peligrosos Códigos QR de los Estafadores

Quishing: Los Peligrosos Códigos QR de los Estafadores

El quishing, una combinación de “código QR” y “phishing”, representa una creciente amenaza para la ciberseguridad que aprovecha los códigos QR para inducir a las personas a revelar información confidencial.

Los ataques de phishing con códigos QR van en aumento y presentan una amenaza importante tanto para los usuarios como para las organizaciones. A continuación, te contamos más detalles.

¿Qué es el Quishing?

Concepto de código QR siendo escaneado
Concepto de código QR siendo escaneado

Quishing es el proceso de dirigir a un usuario final a un sitio web fraudulento a través de un código QR. El diseño de los códigos QR hace imposible que el usuario sepa hacia dónde lo dirigirá el código después de escanearlo. Los ciberdelincuentes crean un código QR que parece legítimo, como uno que parece ofrecer un descuento u oferta especial, pero que en realidad dirige a la víctima a un sitio web falso controlado por el atacante. 

¿Cómo Funciona el Quishing?

El quishing utiliza un código QR que contiene un enlace malicioso. Este enlace puede estar adicionalmente oculto con un acortador de URL. Los métodos de disfraz aquí no son diferentes del phishing clásico a través de correos electrónicos. Sin embargo, a diferencia de esto, el código QR generalmente se imprime, ya que enviarlo por correo electrónico o a teléfonos móviles no es particularmente plausible.

Posible Quishing en físico
Posible Quishing en físico

Quishing Físico

Esto resulta en una desventaja importante del quishing en comparación con el phishing: el número de posibles víctimas es significativamente menor. Si consideras el esfuerzo de imprimir y distribuir los códigos con la cantidad de personas alcanzadas, el phishing supera ampliamente al quishing en este aspecto.

Sin embargo, los criminales no están impedidos de incurrir en estos gastos. En los Estados Unidos (Texas), se descubrieron códigos QR manipulados en estacionamientos. El enlace del sitio web conduce a una página que no es de una fuente oficial. No está claro en el comunicado oficial si se pegó un código QR existente o si los criminales falsificaron la funcionalidad.

Nos hemos acostumbrado a los códigos QR. El registro de vacunación digital, el rastreo de contactos, los check-ins: los códigos QR han entrado en nuestras vidas de manera más evidente que nunca como resultado de la pandemia de la corona. El hecho de que tengas que ver el menú con un código QR al visitar un restaurante ya no es inusual. Incluso al compartir el perfil de Instagram, se genera un código QR.

Quishing Digital

Ejemplo de ataque de phishing por correo electrónico con código QR
Ejemplo de ataque de phishing por correo electrónico con código QR

No obstante, el Quishing también consiste en enviar un correo electrónico con un código QR bajo la apariencia de una solicitud de servicio, oferta o la amenaza de ser desconectado de un servicio. Por ejemplo, un correo electrónico podría decir:

🤞 ¡No te pierdas ningún truco de seguridad!

¡No enviamos spam! Lee nuestra Política de Privacidad para más información.

Estimado empleado, su estado de cuenta de jubilación para el año 2023, que cubre detalles trimestrales y anuales, ya está disponible para su lectura. Utilice la cámara de su teléfono inteligente para escanear el código a continuación y obtener acceso directo a sus estados de ganancias, estados de cuenta y saldo".

Una vez que se escanea el código, es posible que lleve al usuario a un sitio web legítimo y lo redireccione al sitio fraudulento. Muy a menudo, los ciberdelincuentes trabajan para robar su información personal y financiera. Este tipo de estafa también podría realizarse de forma física. A veces, se trata de una multa de estacionamiento falsa colocada en el parabrisas de su automóvil que contiene un código QR para pagar la multa o un código QR colocado en la parte posterior de un parquímetro, lo que le lleva a asumir que es un método de pago. 

Cómo Protegerse del Quishing

Un elemento fundamental en la protección contra el quishing es el escáner de códigos QR utilizado. Muchas aplicaciones muestran una vista previa del código incrustado:

  • Apple tiene implementado un escáner de códigos QR con la app Cámara.
  • Para dispositivos Android existen varios enfoques. Dependiendo de la marca del teléfono, es posible que sea necesario descargar un escáner de códigos manualmente desde la Play Store.

Aquí tienes algunos consejos del FBI para evitar convertirte en una víctima:

  1. Una vez que escanees un código QR, verifica la URL para asegurarte de que sea el sitio previsto y parezca auténtico. Asegúrate de usar generadores QR confiables.
  2. Ten precaución al ingresar información de inicio de sesión, personal o financiera desde un sitio al que accediste a través de un código QR.
  3. Si escaneas un código QR físico, asegúrate de que el código no haya sido manipulado, por ejemplo, con una pegatina colocada sobre el código original.
  4. Evita realizar pagos a través de un sitio al que accediste mediante un código QR. En su lugar, ingresa manualmente una URL conocida y de confianza para completar el pago.
  5. No descargues una aplicación de escáner de códigos QR. Esto aumenta el riesgo de descargar malware en tu dispositivo. La mayoría de los teléfonos tienen un escáner incorporado a través de la aplicación de la cámara.
  6. No descargues una aplicación desde un código QR; utiliza la tienda de aplicaciones de tu teléfono para descargas más seguras.

Si bien los códigos QR han facilitado la vida de muchas maneras, también han abierto nuevas vías para los ciberdelincuentes. Como regla general, no escanees códigos QR incrustados en correos electrónicos o mostrados en lugares aleatorios.

Palabras Finales

Te recomendamos encarecidamente que prestes atención a la función de vista previa al instalar un escáner de códigos QR. Dado que el quishing difiere principalmente por el medio de comunicación, pero tiene el mismo objetivo que el phishing, este aspecto puede ser capturado y entrenado mediante nuevos métodos de capacitación, como llevar a cabo una simulación de phishing. Aquí es concebible que los códigos se distribuyan como folletos en la empresa bajo investigación, se coloquen en las habitaciones u otros lugares significativos.

Los investigadores Filipo Sharevski y otros de la Universidad DePaul en los Estados Unidos han publicado un interesante artículo sobre este tema, “Gone Quishing: A Field Study of Phishing with Malicious QR Codes“. Puede ser consultado de forma gratuita en arxiv.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda