Los ataques de “QR phishing”, también conocidos como quishing, son una tendencia creciente en el mundo del cibercrimen. Los delincuentes están aprovechando los códigos QR, que se utilizan cada vez más en comercios, restaurantes y promociones, para engañar a las víctimas y robar su información personal, dinero o credenciales de acceso.
¿Cómo funciona el Quishing?
El proceso es sencillo. Los atacantes generan un código QR malicioso y lo colocan en lugares estratégicos, donde la gente suele escanear sin pensarlo dos veces. El código, al ser escaneado, dirige a la víctima a un enlace fraudulento que, aunque parece legítimo, está diseñado para robar información o infectar el dispositivo con malware. Este método es similar al phishing tradicional, pero con la ventaja de que los usuarios tienden a confiar más en los códigos QR que en los enlaces sospechosos.
Existen diferentes técnicas para llevar a cabo este tipo de ataques. Algunas de las más comunes incluyen:
• Sustitución de códigos QR originales: Los atacantes colocan pegatinas con códigos QR falsos sobre los originales, que se encuentran en lugares como restaurantes, parquímetros o carteles publicitarios. Las víctimas, al escanearlos, son redirigidas a sitios que solicitan información personal o detalles de pago.
• Códigos QR en correos electrónicos: En lugar de usar un enlace sospechoso, los atacantes insertan un código QR en los correos electrónicos. Así, logran camuflar enlaces maliciosos que de otro modo podrían levantar sospechas.
Una vez que se escanea el código, los usuarios pueden ser dirigidos a sitios de phishing que imitan páginas legítimas, como plataformas de banca en línea o redes sociales, donde se les pide que ingresen sus credenciales. Estos datos son capturados por los atacantes para su uso indebido.
Ejemplos de ataques de Quishing
Algunos ejemplos reales ilustran la gravedad de estos ataques:
• En una tetería, una clienta escaneó un código QR falso y descargó sin saberlo una aplicación maliciosa que permitió al atacante robar información de su teléfono, resultando en la pérdida de 20.000 dólares.
• En la Universidad de Washington, los atacantes distribuyeron códigos QR que aparentaban ser parte de un anuncio oficial que instaba a los estudiantes a habilitar la autenticación en dos pasos en sus cuentas. Los códigos QR dirigían a una página de phishing idéntica a la de la universidad, donde los estudiantes ingresaban sus credenciales, que eran robadas por los atacantes.
Cómo evitar ser víctima de un ataque de Quishing
Aunque el uso de códigos QR puede ser conveniente, es fundamental tomar medidas para protegerse de estos ataques. Algunas recomendaciones incluyen:
1. Desconfía de códigos QR en correos electrónicos: Es inusual que se envíen códigos QR en lugar de enlaces directos. Si recibes un correo de este tipo, verifica cuidadosamente al remitente y presta atención a posibles señales de suplantación de identidad, como errores ortográficos o mensajes que te presionen para actuar con urgencia.
2. Revisa la fuente del código QR: No abras enlaces automáticamente después de escanear un QR. Verifica que el enlace al que serás dirigido sea legítimo y no sospechoso antes de hacer clic.
3. Fíjate en lo que escaneas: Algunos delincuentes colocan pegatinas con códigos QR falsos sobre los originales. Si notas algo inusual, como una pegatina sobre el código QR en un menú o en un parquímetro, consulta con un empleado o responsable del lugar antes de escanearlo.
4. Opta por alternativas más seguras: En lugar de escanear un código QR para acceder a una plataforma de pago o cuenta importante, considera acceder directamente a la página oficial a través de un navegador.
5. Reporta QR sospechosos: Si encuentras un código QR sospechoso o falso, notifícalo inmediatamente a la entidad responsable. Cuanto antes se retire el código malicioso, menos probable será que otras personas caigan en la trampa.
Los códigos QR han simplificado muchos aspectos de la vida cotidiana, pero también han abierto una nueva vía para los ciberdelincuentes. Al estar alerta y seguir las recomendaciones adecuadas, es posible evitar ser víctima de un ataque de quishing. Es crucial que los usuarios sean conscientes de los riesgos que implican estos códigos y actúen con precaución al escanearlos.
Fuentes:
• What is Quishing (QR Phishing)?