QRishing, el phishing oculto en códigos QR

QRishing, el phishing oculto en códigos QR

Desde la pandemia, los QR se han popularizado para usos como acceder al pasaporte Covid-19, descargar aplicaciones sanitarias o acceder a los menús de restaurantes; pero tienen muchas más utilidades, como enviar tarjetas de visita, compartir perfiles de redes sociales como LinkedIn, WhatsApp, Instagram o Twitter, mostrar mensajes promocionales o realizar pagos sin contacto.

QR + Phishing = QRishing

En ciberseguridad es bien sabido que, hecha la herramienta, hecho el ataque. Los códigos QR no son una excepción. En enero de 2022, los delincuentes colocaron falsos códigos QR en parquímetros de Texas y otras ciudades de Estados Unidos para robar datos de pago de las víctimas. Esta técnica de engaño se llama ‘QRishing’, o lo que es lo mismo, ‘phishing’ a través de códigos QR: al escanear el código, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos (cometer otros ataques, suplantar la identidad, suscribir a la víctima a servicios de pago…). El ‘phishing’ no para de reinventarse, demostrando que es capaz de adaptarse con éxito a cualquier canal: correo electrónicoteléfonoSMS y, ahora, códigos QR.

Consejos contra el ‘QRishing’

Como no todos los QR llevan a buen puerto, estos consejos protegen a los usuarios de códigos maliciosos:

  • Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
  • Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo. Así se puede revisar la dirección antes de acceder al contenido o introducir información.
  • No escanear códigos QR de dudosa procedencia: verificar la identidad del autor (persona o entidad), confirmar que es quien dice ser. En caso de duda, buscar en internet más información, o investigar su identidad y objetivos por otra vía (llamada telefónica).
  • En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado para comprador y vendedor.
  • Si el código QR está en el mundo físico, por ejemplo, en el expositor de alguna tienda o impreso en un vaso, un truco de los delincuentes es colocar una pegatina sobre el código real: antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegados sobre el código real. Si lo detectamos, informar al responsable del establecimiento.
  • En caso de gestionar un negocio, comprobar periódicamente que los códigos QR que se utilizan no hayan sido falseados.
  • Y si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante parar a pensar un momento si el contexto lo requiere.

Los ciberdelincuentes se aprovechan de la confianza de los usuarios, de la práctica masiva de escanearlos y de la dificultad de distinguir un código QR legítimo de uno malicioso. Para hacer caer en la trampa a la víctima recurren a técnicas de ingeniería social.

Proteger la privacidad

El ‘QRishing’ no es el único peligro de estos códigos, que también pueden comprometer la privacidad. Algunos documentos con información sensible llevan un código QR insertado; es el caso de certificados o citas médicas, comprobantes bancarios, boletos de sorteos o entradas de eventos. Su objetivo es facilitar el acceso o la verificación de la información. Nunca se debe compartir ese código ni enviar fotos del documento a nadie; hay que mostrarlo solo en caso.

¡Be a cybersecurity key player!

No Comments

Post A Comment

× Contáctanos