Las organizaciones están cada vez más susceptibles a los fraudes de códigos QR, también conocidos como phishing de códigos QR o «quishing». Aquí te explicamos por qué estos ataques están en aumento y cómo protegerte de ellos.
Durante la pandemia de COVID-19, hubo un momento distintivo en el que los códigos QR se volvieron muy populares. Estaban presentes en restaurantes, mostradores de pago, estanterías de tiendas, hoteles, puntos de registro en edificios de oficinas y aeropuertos. Los códigos QR fueron un cambio de juego porque permitieron a las personas obtener información de manera sin contacto.
Estos elegantes códigos cuadrados ofrecían a los usuarios una experiencia segura, rápida y sin fricciones, proporcionando un puente entre lo físico y lo digital. Al reducir la brecha entre humanos y máquinas, algo que se ha buscado desde la revolución informática, los códigos QR tienen un poder único.
Avancemos unos años y ahora su adopción masiva también los ha convertido en objetivos de estafas de phishing de códigos QR, también conocidas como «quishing». Según un estudio reciente de ReliaQuest, hubo un aumento del 51 por ciento en el phishing de códigos QR en septiembre de 2023 en comparación con enero a agosto de ese año, y la tendencia solo ha continuado.
En estos fraudes, los usuarios escanean un código de barras fraudulento y son llevados a una página web que puede robar, limpiar o solicitar su información personal. Aparentemente inofensivo, el código QR es el cebo ideal de los ciberdelincuentes para atrapar a sus víctimas. Para defenderse del «quishing», las empresas pueden actualizar regularmente sus contraseñas, instalar software anti-malware y utilizar servicios de inteligencia de amenazas. También es fundamental educar a los equipos sobre fuentes confiables y cómo detectar un código QR falso.
La historia de los QR
Los códigos QR se remontan a 1994 y fueron inventados por la empresa japonesa Denso Wave. QR significa «respuesta rápida» – los códigos fueron creados con un enfoque en la lectura de alta velocidad y la capacidad de almacenar una gran cantidad de información. Inicialmente, los códigos fueron utilizados por la industria automotriz para el kanban electrónico y luego adoptados por empresas de alimentos, farmacéuticas y de lentes de contacto, entre otras, para controlar su mercancía y mejorar la eficiencia de producción.
Un factor crucial que contribuyó al uso generalizado de los códigos QR fue la decisión de Denso Wave de hacer públicas las especificaciones del código QR sin ejercer derechos de patente, para que la tecnología pudiera ser utilizada por la mayor cantidad de personas posible.
A principios de la década de 2000, los «marketers» se interesaron en los códigos QR como una forma de enviar fácilmente a las personas a páginas de destino y contenido web específico, según escribe Ira Gostin, socio de G8 Consulting, en Forbes. Poco después, cayeron en el olvido, solo para ser revividos nuevamente en 2020 durante la pandemia. Desde entonces, los códigos QR han mantenido su popularidad y ahora se utilizan en el comercio minorista, marketing, logística y pagos digitales.
Vea también: Cinco buenas prácticas para la implantación de gemelos digitales
¿Cómo funciona un ataque de quishing?
En un ataque de quishing, los ciberdelincuentes utilizan códigos QR para engañar a las personas y hacer que visiten sitios web maliciosos o descarguen aplicaciones falsas. Para hacer esto, los hackers crean un código QR falso que imita a uno legítimo.
Los usuarios son redirigidos a un sitio web malicioso o se les solicita descargar una aplicación falsa, creyendo que proviene de una fuente confiable. Luego se les solicita que completen información personal como detalles de tarjetas de crédito o credenciales de inicio de sesión.
Según Matthew Tyson en CSO, el «aumento precipitado» en las campañas de phishing con códigos QR en 2023 ocurrió en parte porque son simples de usar y hackear. «Es fácil para los atacantes utilizar recursos gratuitos para generar correos electrónicos de phishing convincentes, adjuntos y sitios web habilitados con códigos QR, un mecanismo que puede aumentar la efectividad de sus esfuerzos con un esfuerzo mínimo», escribe.
El quishing es una preocupación seria porque los usuarios no pueden diferenciar fácilmente entre códigos QR genuinos y maliciosos. Los códigos también pueden evadir los sistemas de seguridad porque se leen como una imagen única sin texto sospechoso.
Ya sea para robar información privada o cargar malware en un dispositivo, los usuarios deben tener cuidado con estafas de códigos QR por correo electrónico, estafas de pago, estafas de paquetes, estafas de donaciones y estafas de inversión.
¿Cómo detectar un ataque de quishing?
Examina detenidamente el código QR en sí. Observa diseños inusuales, pixelación o errores en la estructura del código. Esto puede incluir letras o símbolos escritos en una fuente pequeña entre los códigos de barras cuadrados.
Verifica la fuente. Las empresas legítimas suelen incrustar códigos QR en sus sitios web oficiales o materiales, no en correos electrónicos o mensajes no solicitados.
Evalúa el grado de urgencia y el tono emocional. Una solicitud repentina o no solicitada de información personal es probablemente una señal de un ataque de quishing. Estas estafas también aprovechan las emociones para obtener una respuesta rápida, así que considera si el mensaje expresa miedo, curiosidad o codicia.
Siempre verifica la URL antes de escanear. Si parece aleatoria o no coincide con el supuesto remitente, podría ser fraudulenta. Por lo general, los usuarios pueden ver una vista previa del enlace antes de hacer clic, ya que sus cámaras escanean el código.
Ten cuidado con los códigos QR que solicitan información sensible o que provocan descargas automáticas. Los códigos genuinos suelen dirigir a un sitio web para obtener información en lugar de solicitar datos personales de inmediato.
Examina los permisos solicitados por el sitio vinculado después de escanear. Un sitio confiable no pedirá acceso innecesario.
¿Cómo puedes proteger a tu organización del quishing?
La mejor manera de protegerse contra los ataques de quishing es pensar antes de hacer clic (o escanear).
Los usuarios también deben confiar en su instinto. Si algo parece sospechoso o demasiado bueno para ser verdad, confía en tus instintos y procede con cautela. La Agencia de Ciberseguridad y Seguridad de Infraestructura y la Agencia de Seguridad Nacional también recomiendan estas estrategias para mejorar la resiliencia de tu organización contra los ataques de quishing:
Realiza capacitaciones regulares a los empleados para educar al personal sobre cómo reconocer y evitar ataques de phishing, resaltando la importancia de no hacer clic en enlaces sospechosos o descargar archivos adjuntos de fuentes desconocidas. Esto incluye discutir métodos de prevención y las últimas tácticas de los ciberdelincuentes.
Implementa un filtro de spam para evitar que los correos electrónicos de fuentes sospechosas lleguen a las bandejas de entrada de los empleados.
Mantén todos los sistemas actualizados con los últimos parches de seguridad, implementa una solución antivirus y supervisa su estado en todos los equipos.
