¿Cómo funciona el quishing, la estafa con códigos QR?

Desde que los códigos QR han llegado a nuestras vidas también lo han hecho las estafas cibernéticas con estos.

Por:

José Banco

Uno de los escenarios más habituales en verano en España es sentarse a tomar algo en una terraza. Desde que los códigos QR gobiernan en las mesas de los bares y los restaurantes, sustituyendo a las antiguas cartas de papel, nos hemos acostumbrado a sacar el móvil y escanear la imagen para ver el menú.

Sin embargo, a medida que el uso de códigos QR se ha normalizado en nuestra vida cotidiana, el ‘quishing’ ha encontrado un nicho donde los usuarios suelen bajar la guardia, confiando en la apariencia inofensiva de estos códigos.

El quishing es una modalidad de phishing que utiliza códigos QR en lugar de enlaces tradicionales para llevar a cabo ataques cibernéticos. Los usuarios escanean un código con sus teléfonos móviles pensando que acceden a un contenido legítimo, pero en realidad son redirigidos a sitios maliciosos donde los ciberdelincuentes pueden robar información personal, datos bancarios o instalar malware en el dispositivo.

Durante estos últimos meses, con el ocio, las vacaciones y el tiempo libre que suelen acompañar al verano, los expertos han detectado un aumento de estos ataques de phishing con códigos QR.

Te podría interesar

La estafa del cupón en Airbnb: cómo funciona y qué te pide el falso anfitrión

Cuidado con la estafa de los 50 Euros: Policía Nacional, preocupada por su irrupción

¿Por qué el quishing aumentó en el verano?

El verano es una época en la que las personas suelen relajarse y prestar menos atención a las medidas de seguridad cibernética. Durante las vacaciones, el uso de dispositivos móviles aumenta, y la tendencia de escanear códigos QR se dispara en playas, bares, restaurantes y eventos al aire libre.

Los ciberdelincuentes se aprovechan de esta relajación para lanzar ataques dirigidos, colocando códigos QR falsos en lugares públicos o enviándolos a través de correos electrónicos y mensajes de texto. Al estar los usuarios más enfocados en sus vacaciones y con menos precaución, el quishing tiene más posibilidades de éxito durante este periodo.

Quishing: cómo funciona este tipo de ciberataque

Los ataques de quishing se diferencian de los ataques de phishing tradicionales en la forma en que se formatea el enlace en un correo electrónico. En lugar de un enlace basado en texto, el sitio web malicioso se señala mediante un código QR. Cuando un usuario escanea el código QR, su dispositivo puede extraer el enlace indicado y llevar al usuario a esa URL.

“Empezaron con solicitudes de autenticación MFA estándar y, posteriormente, evolucionaron hacia el ataque de routing y objetivos personalizados. Ahora, estamos viendo una nueva tendencia hacia la manipulación de códigos QR”, explican desde la compañía experta en ciberseguridad Check Point Software.

Así, los ciberdelincuentes insertan pequeños fragmentos de código en el HTML. “A simple vista, en un email, esto podría parecer un código QR estándar, pero para un OCR, no se detecta ninguna información relevante”, añaden los expertos.

Existen varios tipos de estafas cibernéticas

· Phishing: Es una de las estafas más comunes y consiste en enviar correos electrónicos o mensajes que parecen ser de una entidad legítima, como un banco o una empresa. El objetivo es engañar al usuario para que revele información confidencial, como contraseñas o datos financieros.

· Vishing: Los estafadores utilizan teléfonos falsos para contactar a la víctima y recopilar datos a través de argumentos engañosos.

· Smishing: Los estafadores envían mensajes de texto o WhatsApp para informar a la víctima que se ha hecho acreedora de un premio.

· Antivirus falsos: Los estafadores utilizan una advertencia emergente que indica que el usuario tiene un virus y que debe hacer clic en un enlace para limpiarlo. En realidad, el enlace lleva a una página que instala software malicioso en el dispositivo de la víctima.

· Suplantación de identidad: Los estafadores se hacen pasar por una persona o empresa.

· Tiendas online fraudulentas: Los estafadores venden productos falsificados o inexistentes

Como evitar las estafas cibernéticas

· Evitar compartir información personal: No compartas datos personales o bancarios por teléfono, redes sociales o SMS. Tampoco compartas códigos de verificación que te envíen por email o mensaje de texto.

· Utilizar contraseñas seguras: Usa contraseñas seguras y únicas para cada cuenta, que combinen letras, números y símbolos. Evita usar la misma contraseña para todas tus cuentas, o compartirla con personas ajenas a ti.

· Mantener los sistemas actualizados: Mantén actualizado el sistema operativo, el navegador y las aplicaciones.

· Evitar redes Wi-Fi públicas: Las redes Wi-Fi públicas, como las que se encuentran en bibliotecas, cafeterías, aeropuertos, hoteles, entre otros, no son seguras.

· No abrir correos electrónicos sospechosos: No abras correos electrónicos o hagas clic en enlaces de remitentes desconocidos.

· No descargar software de acceso remoto: No descargues software que te dé acceso remoto a tu computadora o teléfono.

· Verificar la autenticidad de los contactos: Si te contactan desde un organismo público o privado por WhatsApp, verifica el logo de autenticación del organismo.

· Realizar copias de seguridad: Realiza copias de seguridad de tus datos importantes de forma regular.