Quishing, un término derivado de “phishing de códigos QR”, es un tipo de ciberataque donde los cibercriminales usan códigos QR maliciosos para engañar a las personas y hacer que visiten sitios web falsos o descarguen malware a sus dispositivos.
Índice
Estos códigos QR maliciosos pueden encontrarse en emails, anuncios, volantes y otros medios para llegar a usuarios desprevenidos. Este ataque tiene como propósito robar información sensible como contraseñas, información financiera o infectar el dispositivo de un usuario con malware de forma que pueda explotarse en el futuro.
Los códigos QR existen para facilitarnos la vida, pero es su simplicidad lo que los convierte en un recursos valioso para los cibercriminales. Ya que el usuario no puede ver la URL del código hasta después de haberlo escaneado, el quishing podría ser difícil de detectar hasta que es demasiado tarde.
Un código de respuesta rápida, o QR por sus siglas en inglés, es un tipo de código de barras en dos dimensiones que puede escanearse fácil y rápidamente con dispositivos como los smartphones. Los códigos QR tienen la capacidad de almacenar grandes cantidades de información que entonces un individuo puede escanear para compartirla. Una vez escaneado, el usuario usualmente se ve dirigido hacia una página web que contiene la información que necesita, aunque los códigos QR también pueden detonar llamadas telefónicas, mensajes de texto e incluso pagos digitales. Por ejemplo, los códigos QR se han vuelto muy populares en los restaurantes para ofrecer menús digitales.
El éxito del quishing se encuentra en las tendencias psicológicas y los hábitos de comportamiento de sus víctimas. Los códigos QR son muy convenientes y se perciben como de alta confianza, pero desafortunadamente son precisamente estas características las que los hacen atractivos para los cibercriminales, ya que los usuarios no tienden a cuestionar los códigos QR que encuentran.
Con el aumento en el uso de los códigos QR en nuestra vida diaria, ya sea para ver el menú en restaurantes, pagos sin contacto o hacer check-in en un hotel, las personas se han adaptado a escanear los códigos sin pensarlo dos veces.
A diferencia del phishing tradicional, los códigos QR ocultan la URL final a la que llevan, y esto hace difícil verificar su legitimidad.
Los cibercriminales a menudo crean mensajes que tienen un sentido de urgencia, como advertencias sobre seguridad de cuentas, u ofertas exclusivas, haciendo que los usuarios actúen de forma impulsiva.
Estos factores, combinados con la naturaleza inherentemente visual e interactiva de los QRs, hacen que el quishing sea un vector de ataque particularmente efectivo.
Los ataques de quishing usualmente involucran reemplazar códigos QR legítimos con unos maliciosos. Estos códigos fraudulentos pueden aparecer en varios lugares como pósters, en terminales de pago, restaurantes o incluso en emails y mensajes de texto. Una vez que el código QR ha sido escaneado, la víctima será redirigida hacia un sitio web malicioso diseñado para robar su información personal, o para hacer que descargue software malicioso.
En algunos casos, escanear un código QR malicioso no solamente redirige hacia un sitio web malicioso, también puede detonar la descarga de malware en su dispositivo. Esto le abre la puerta a los cibercriminales para que puedan robar su información, espiar sus actividades (spyware) o incluso encriptar toda su información y demandar un pago de rescate (ransomware). Los códigos QR en las estafas de phishing son particularmente peligrosos porque el usuario podría no darse cuenta de que ha sido comprometido hasta que es demasiado tarde.
Cualquiera puede ser víctima del quishing, pero algunos grupos están en mayor riesgo que otros. Por ejemplo:
Estas son algunas señales que debe observar para evitar un ataque de quishing:
Si un código QR parece estar dañado o fuera de lugar, es mejor evitar escanearlo. Los cibercriminales a menudo colocan estampas con sus códigos maliciosos sobre los códigos legítimos.
Tenga cuidado si repentinamente se le solicita ingresar información personal, financiera o descargar software después de escanear un código.
Verifique los códigos QR que prometen recompensas, descuentos o premios. Podrían tratarse de trampas. Los estafadores a menudo usan este tipo de señuelos para atraer víctimas.
Inspeccione la URL que está integrada al código QR. Si es excesivamente larga, innecesariamente complicada o contiene caracteres extraños, podría tratarse de phishing. También, debe de evitar sitios a los que haya accedido por medio de un QR que le soliciten un pago; es mejor ingresar manualmente una URL confiable para hacer transacciones.
No confíe en códigos QR que le pidan un número excesivo de permisos más allá de lo necesario (por ejemplo, acceso a su cámara, contactos o ubicación).
Un ataque común de quishing se da en los parquímetros. Esta estafa ha sido destacada por el Better Business Bureau (BBB), y se trata de cibercriminales que colocan códigos QR falsos en parquímetros o terminales de pago. Un conductor que no tenga efectivo a la mano podría escanear el código para pagar su estacionamiento, y en su lugar ser redirigido hacia un sitio fraudulento que solicita la información de su tarjeta de crédito. La víctima podría no darse cuenta de que fue estafada hasta días o semanas después, cuando note cargos inesperados en su estado de cuenta.
Otra amenaza emergente son los estafadores haciéndose pasar por empresas de energía o agencias gubernamentales. Las víctimas reciben algo que parece ser una comunicación oficial, pidiéndoles escanear el código para pagar un recibo pendiente pero, en lugar de pagarlo, se ven redirigidos hacia un sitio falso creado para robar su información financiera.
¡Piense antes de escanear! Estos son algunos consejos prácticos para evitar que usted y su organización sean víctimas de un ataque de Quishing:
Si encuentra un código QR en un espacio público, como una empresa o un restaurante, siempre es buena idea confirmar con un empleado antes de escanear. Como sugiere el BBB, ponga atención a cualquier señal de que el código QR ha sido alterado.
Los estafadores están usando también códigos QR en emails de phishing o mensajes de texto. Nunca escanee un código o haga click en un link proveniente de un remitente desconocido.
Algunas aplicaciones para escanear QRs permiten ver la URL asociada antes de redirigirlo hacia el sitio web. Este paso extra puede ayudarle a evaluar si el link es confiable antes de proceder.
Mantenga actualizada la seguridad de su dispositivo, ya que esto puede ayudarle a detectar y bloquear las descargas maliciosas que podrían resultar de escanear un código QR malicioso.
Al usar códigos QR para realizar pagos, y especialmente si se encuentra en una ubicación desconocida, debe de verificar que la terminal o sitio web de pago sea legítima antes de ingresar cualquier información sensible.
Como hemos aprendido, los códigos QR a menudo son una fuente confiable para obtener acceso rápido a información, pero debemos ser mucho más vigilantes y conscientes de los riesgos de seguridad. Aunque la toma de consciencia de seguridad y la capacitación son cruciales para mantener la protección, su organización necesita de una solución de seguridad para email que le permita a los administradores y a los equipos de seguridad tener visibilidad completa y capacidades integrales para mantener el paso de las amenazas. Trend Vision One™ Email and Collaboration Security entrega las capacidades de Trend Vision One™ Security Awareness a través de nuestra solución Trend Vision One™ Cyber Risk Exposure Management (CREM) , permitiendo que los empleados tomen decisiones informadas y se protejan efectivamente ante los ataques sofisticados de phishing.