Uno de los escenarios más habituales en verano en España es sentarse a tomar algo en una terraza. Desde que los códigos QR gobiernan en las mesas de los bares y los restaurantes, sustituyendo a las antiguas cartas de papel, nos hemos acostumbrado a sacar el móvil y escanear la imagen para ver el menú.
Sin embargo, a medida que el uso de códigos QR se ha normalizado en nuestra vida cotidiana, el ‘quishing’ ha encontrado un nicho donde los usuarios suelen bajar la guardia, confiando en la apariencia inofensiva de estos códigos.
El quishing es una modalidad de phishing que utiliza códigos QR en lugar de enlaces tradicionales para llevar a cabo ataques cibernéticos. Los usuarios escanean un código con sus teléfonos móviles pensando que acceden a un contenido legítimo, pero en realidad son redirigidos a sitios maliciosos donde los ciberdelincuentes pueden robar información personal, datos bancarios o instalar malware en el dispositivo.
Durante estos últimos meses, con el ocio, las vacaciones y el tiempo libre que suelen acompañar al verano, los expertos han detectado un aumento de estos ataques de phishing con códigos QR.
¿Por qué el quishing crece en verano?
El verano es una época en la que las personas suelen relajarse y prestar menos atención a las medidas de seguridad cibernética. Durante las vacaciones, el uso de dispositivos móviles aumenta, y la tendencia de escanear códigos QR se dispara en playas, bares, restaurantes y eventos al aire libre.
Los ciberdelincuentes se aprovechan de esta relajación para lanzar ataques dirigidos, colocando códigos QR falsos en lugares públicos o enviándolos a través de correos electrónicos y mensajes de texto. Al estar los usuarios más enfocados en sus vacaciones y con menos precaución, el quishing tiene más posibilidades de éxito durante este periodo.
Quishing: así funciona este tipo de ciberataque
Los ataques de quishing se diferencian de los ataques de phishing tradicionales en la forma en que se formatea el enlace en un correo electrónico. En lugar de un enlace basado en texto, el sitio web malicioso se señala mediante un código QR. Cuando un usuario escanea el código QR, su dispositivo puede extraer el enlace indicado y llevar al usuario a esa URL.
“Empezaron con solicitudes de autenticación MFA estándar y, posteriormente, evolucionaron hacia el ataque de routing y objetivos personalizados. Ahora, estamos viendo una nueva tendencia hacia la manipulación de códigos QR”, explican desde la compañía experta en ciberseguridad Check Point Software.
Así, los ciberdelincuentes insertan pequeños fragmentos de código en el HTML. “A simple vista, en un email, esto podría parecer un código QR estándar, pero para un OCR, no se detecta ninguna información relevante”, añaden los expertos.
¿Cómo se genera un ataque mediante quishing?
Existen plataformas online que facilitan a los ciberdelincuentes la generación automática de estos códigos maliciosos, los cuales pueden ser configurados para incluir enlaces dañinos.
En muchos casos de ataques de phishing con códigos QR, el correo electrónico pretende ser una solicitud de autenticación.
¿Y por qué no se detecta por los filtros de spam? “La presencia de caracteres ASCII en el código QR puede llevar a los sistemas de seguridad a pasar por alto el riesgo, interpretando erróneamente el email como seguro”, subrayan desde Check Point Software.
Cómo reconocer y protegerse del quishing
Aunque el quishing puede ser difícil de detectar, existen señales que pueden ayudarte a evitar caer en la trampa:
- Códigos QR no solicitados: desconfía de los códigos QR que llegan a través de correos electrónicos o mensajes inesperados. Estos podrían ser parte de un ataque de quishing.
- Códigos en lugares poco confiables: evita escanear códigos QR en lugares públicos no verificados o sin ninguna explicación clara de su propósito.
- Páginas sospechosas: si tras escanear un código QR te redirige a una página que pide información personal o financiera, sospecha y no introduzcas ningún dato.
Para protegerte del quishing, es esencial seguir estas recomendaciones:
- Usa un lector de QR con seguridad: algunas apps de lectura de códigos QR permiten previsualizar el enlace antes de abrirlo. Usa estas aplicaciones para asegurarte de que el destino es seguro.
- Verifica el origen del código: antes de escanear un código QR en un correo o mensaje, verifica siempre la fuente. Contacta con el remitente para asegurarte de que el código es legítimo.
- Mantén tu dispositivo actualizado: asegúrate de que tu teléfono móvil y las aplicaciones que utilizas están actualizadas, ya que las versiones más recientes suelen contar con mejoras en seguridad.
Por su parte, para protegerse frente a estas amenazas, los expertos en ciberseguridad de Check Point Software recomiendan que las empresas tomen las siguientes medidas:
- Implantar una seguridad que descodifique automáticamente los códigos QR incrustados en los correos electrónicos y analice las URL en busca de contenido malicioso.
- Utilizar seguridad que reescriba el código QR incrustado en el cuerpo del email y lo sustituya por un enlace seguro y reescrito.
- Implementar seguridad que utilice IA avanzada para buscar múltiples indicadores de phishing.
