¿Qué es el Quishing?

tball

Quishing, un término derivado de “phishing de códigos QR”, es un tipo de ciberataque donde los cibercriminales usan códigos QR maliciosos para engañar a las personas y hacer que visiten sitios web falsos o descarguen malware a sus dispositivos.

Significado de Quishing

Estos códigos QR maliciosos pueden encontrarse en emails, anuncios, volantes y otros medios para llegar a usuarios desprevenidos. Este ataque tiene como propósito robar información sensible como contraseñas, información financiera o infectar el dispositivo de un usuario con malware de forma que pueda explotarse en el futuro.

Los códigos QR existen para facilitarnos la vida, pero es su simplicidad lo que los convierte en un recursos valioso para los cibercriminales. Ya que el usuario no puede ver la URL del código hasta después de haberlo escaneado, el quishing podría ser difícil de detectar hasta que es demasiado tarde.

¿Qué es un código QR?

Un código de respuesta rápida, o QR por sus siglas en inglés, es un tipo de código de barras en dos dimensiones que puede escanearse fácil y rápidamente con dispositivos como los smartphones. Los códigos QR tienen la capacidad de almacenar grandes cantidades de información que entonces un individuo puede escanear para compartirla. Una vez escaneado, el usuario usualmente se ve dirigido hacia una página web que contiene la información que necesita, aunque los códigos QR también pueden detonar llamadas telefónicas, mensajes de texto e incluso pagos digitales. Por ejemplo, los códigos QR se han vuelto muy populares en los restaurantes para ofrecer menús digitales.

¿Por qué es efectivo el quishing?

El éxito del quishing se encuentra en las tendencias psicológicas y los hábitos de comportamiento de sus víctimas. Los códigos QR son muy convenientes y se perciben como de alta confianza, pero desafortunadamente son precisamente estas características las que los hacen atractivos para los cibercriminales, ya que los usuarios no tienden a cuestionar los códigos QR que encuentran.

Familiaridad y Confianza

Con el aumento en el uso de los códigos QR en nuestra vida diaria, ya sea para ver el menú en restaurantes, pagos sin contacto o hacer check-in en un hotel, las personas se han adaptado a escanear los códigos sin pensarlo dos veces.

URLs con Destinos Ocultos

A diferencia del phishing tradicional, los códigos QR ocultan la URL final a la que llevan, y esto hace difícil verificar su legitimidad.

Urgencia y Tácticas de Persuasión

Los cibercriminales a menudo crean mensajes que tienen un sentido de urgencia, como advertencias sobre seguridad de cuentas, u ofertas exclusivas, haciendo que los usuarios actúen de forma impulsiva.

Estos factores, combinados con la naturaleza inherentemente visual e interactiva de los QRs, hacen que el quishing sea un vector de ataque particularmente efectivo.

¿Cómo funcionan los ataques de quishing?

Los ataques de quishing usualmente involucran reemplazar códigos QR legítimos con unos maliciosos. Estos códigos fraudulentos pueden aparecer en varios lugares como pósters, en terminales de pago, restaurantes o incluso en emails y mensajes de texto. Una vez que el código QR ha sido escaneado, la víctima será redirigida hacia un sitio web malicioso diseñado para robar su información personal, o para hacer que descargue software malicioso.

Ilustración sobre cómo funcionan los ataques de quishing.

Malware y phishing

En algunos casos, escanear un código QR malicioso no solamente redirige hacia un sitio web malicioso, también puede detonar la descarga de malware en su dispositivo. Esto le abre la puerta a los cibercriminales para que puedan robar su información, espiar sus actividades (spyware) o incluso encriptar toda su información y demandar un pago de rescate (ransomware). Los códigos QR en las estafas de phishing son particularmente peligrosos porque el usuario podría no darse cuenta de que ha sido comprometido hasta que es demasiado tarde.

¿Quién está en riesgo?

Cualquiera puede ser víctima del quishing, pero algunos grupos están en mayor riesgo que otros. Por ejemplo:

  • Turistas y viajeros: Los turistas a menudo dependen de los códigos QR para trasladarse, hacer pagos y acceder a información en lugares desconocidos.
  • Usuarios de la tercera edad: Los adultos mayores a menudo son víctima de estos ciberataques debido a que tienden a conocer menos sobre estas técnicas de phishing.
  • Usuarios móviles: Con la conveniencia de los pagos móviles y las transacciones en línea, los códigos QR pueden facilitar los pagos pero también incrementan las posibilidades de ser estafado.
  • Empresas y empleados: Las empresas que usan códigos QR para servicios sin contacto podrían exponerse inadvertidamente ellas mismas o a sus clientes a estos ataques.

Señales de un ataque de quishing

Estas son algunas señales que debe observar para evitar un ataque de quishing:

Códigos QR manipulados

Si un código QR parece estar dañado o fuera de lugar, es mejor evitar escanearlo. Los cibercriminales a menudo colocan estampas con sus códigos maliciosos sobre los códigos legítimos.

Solicitudes inesperadas

Tenga cuidado si repentinamente se le solicita ingresar información personal, financiera o descargar software después de escanear un código.

Se ve demasiado bueno para ser verdad

Verifique los códigos QR que prometen recompensas, descuentos o premios. Podrían tratarse de trampas. Los estafadores a menudo usan este tipo de señuelos para atraer víctimas.

Links / páginas web sospechosas

Inspeccione la URL que está integrada al código QR. Si es excesivamente larga, innecesariamente complicada o contiene caracteres extraños, podría tratarse de phishing. También, debe de evitar sitios a los que haya accedido por medio de un QR que le soliciten un pago; es mejor ingresar manualmente una URL confiable para hacer transacciones.

Demasiada información

No confíe en códigos QR que le pidan un número excesivo de permisos más allá de lo necesario (por ejemplo, acceso a su cámara, contactos o ubicación).

Ejemplos del mundo real de ataques de quishing

Un ataque común de quishing se da en los parquímetros. Esta estafa ha sido destacada por el Better Business Bureau (BBB), y se trata de cibercriminales que colocan códigos QR falsos en parquímetros o terminales de pago. Un conductor que no tenga efectivo a la mano podría escanear el código para pagar su estacionamiento, y en su lugar ser redirigido hacia un sitio fraudulento que solicita la información de su tarjeta de crédito. La víctima podría no darse cuenta de que fue estafada hasta días o semanas después, cuando note cargos inesperados en su estado de cuenta.

Otra amenaza emergente son los estafadores haciéndose pasar por empresas de energía o agencias gubernamentales. Las víctimas reciben algo que parece ser una comunicación oficial, pidiéndoles escanear el código para pagar un recibo pendiente pero, en lugar de pagarlo, se ven redirigidos hacia un sitio falso creado para robar su información financiera.

¿Cómo prevenir ataques de quishing?

¡Piense antes de escanear! Estos son algunos consejos prácticos para evitar que usted y su organización sean víctimas de un ataque de Quishing:

Verifique con la fuente

Si encuentra un código QR en un espacio público, como una empresa o un restaurante, siempre es buena idea confirmar con un empleado antes de escanear. Como sugiere el BBB, ponga atención a cualquier señal de que el código QR ha sido alterado.

Evite códigos QR provenientes de comunicaciones no deseadas

Los estafadores están usando también códigos QR en emails de phishing o mensajes de texto. Nunca escanee un código o haga click en un link proveniente de un remitente desconocido.

Use un escáner de QRs que le permitan ver la URL

Algunas aplicaciones para escanear QRs permiten ver la URL asociada antes de redirigirlo hacia el sitio web. Este paso extra puede ayudarle a evaluar si el link es confiable antes de proceder.

Actualice su software de seguridad

Mantenga actualizada la seguridad de su dispositivo, ya que esto puede ayudarle a detectar y bloquear las descargas maliciosas que podrían resultar de escanear un código QR malicioso.

Tenga cuidado con los pagos vía QR

Al usar códigos QR para realizar pagos, y especialmente si se encuentra en una ubicación desconocida, debe de verificar que la terminal o sitio web de pago sea legítima antes de ingresar cualquier información sensible.

Ilustración sobre cómo prevenir los ataques de quishing.

¿Dónde puedo obtener ayuda con el quishing?

Como hemos aprendido, los códigos QR a menudo son una fuente confiable para obtener acceso rápido a información, pero debemos ser mucho más vigilantes y conscientes de los riesgos de seguridad. Aunque la toma de consciencia de seguridad y la capacitación son cruciales para mantener la protección, su organización necesita de una solución de seguridad para email que le permita a los administradores y a los equipos de seguridad tener visibilidad completa y capacidades integrales para mantener el paso de las amenazas. Trend Vision One™ Email and Collaboration Security entrega las capacidades de Trend Vision One™ Security Awareness a través de nuestra solución Trend Vision One™ Cyber Risk Exposure Management (CREM) , permitiendo que los empleados tomen decisiones informadas y se protejan efectivamente ante los ataques sofisticados de phishing.