Detenga más amenazas con Trend Micro Email Security: ¡protección avanzada para su bandeja de entrada!
Quishing, un término derivado del “phishing de código QR”, es un tipo de ciberataque en el que los cibercriminales utilizan códigos QR maliciosos para engañar a las personas para que visiten sitios web falsos o descarguen malware en sus dispositivos. Estos códigos QR maliciosos se pueden incrustar en correos electrónicos, anuncios, folletos e incluso simplemente poner encima de códigos QR preexistentes para dirigirse a un usuario desprevenido. El objetivo de este ataque es que los atacantes roben información confidencial como contraseñas, datos financieros o infecten el dispositivo de un usuario con malware que pueda conducir a una mayor explotación en el futuro.
Los códigos QR están diseñados para facilitar la vida, pero esta simplicidad es lo que los convierte en el objetivo principal de los cibercriminales. Dado que el usuario no puede ver la URL oculta en el código QR hasta después del análisis, puede ser difícil detectar el quishing hasta que sea demasiado tarde.
Un código de respuesta rápida o un código QR es un tipo de código de barras bidimensional que se escanea fácil y rápidamente mediante dispositivos digitales como smartphones. Los códigos QR tienen la capacidad de almacenar grandes cantidades de datos que un usuario puede escanear para compartir esa información normalmente abriendo una página web, aunque los códigos QR también pueden activar llamadas telefónicas, mensajes de texto e incluso pagos digitales. Por ejemplo, los códigos QR se han vuelto bastante populares en los restaurantes para ofrecer un menú digital a sus clientes.
El éxito de Quishing reside en las tendencias psicológicas y los hábitos de comportamiento de sus víctimas. Los códigos QR son ampliamente considerados convenientes y fiables, pero lamentablemente esto hace que los usuarios tengan menos probabilidades de abordarlos con escepticismo.
Con el auge de los códigos QR en la vida diaria, ya sea para menús de restaurantes, pagos sin contacto o registros de eventos en hoteles, las personas se han sentido cómodas escaneando un código QR sin tener que pensarlo un segundo.
A diferencia de los enlaces de phishing tradicionales, los códigos QR ocultan la dirección web real a la que conducen, lo que dificulta verificar su legitimidad de un vistazo.
Los cibercriminales suelen crear mensajes que crean un sentido de urgencia, como advertencias sobre la seguridad de la cuenta u ofertas de acuerdos exclusivos, lo que lleva a los usuarios a actuar de forma impulsiva.
Estos factores, combinados con la naturaleza inherentemente visual e interactiva de los códigos QR, hacen de la eliminación de un vector de ataque especialmente eficaz.
La eliminación de ataques suele implicar la sustitución de códigos QR legítimos por otros maliciosos. Estos códigos fraudulentos pueden aparecer en diversos lugares, como carteles, terminales de pago, restaurantes o incluso en correos electrónicos y mensajes de texto. Una vez que el objetivo escanee el código QR, se le llevará a un sitio web malicioso diseñado para robar su información personal o engañarle para que descargue software dañino.
En algunos casos, escanear un código QR malicioso no solo conduce a un sitio web falso, ya que también puede desencadenar la descarga de malware en su dispositivo. Esto abre la puerta a los ciberdelincuentes para que roben sus datos, espien sus actividades (spyware) o incluso le bloqueen de su sistema hasta que pague un rescate (ransomware). Los códigos QR en las estafas de phishing son especialmente peligrosos porque es posible que el usuario no se dé cuenta de que su dispositivo se ha visto comprometido hasta que sea demasiado tarde.
Cualquier persona puede ser víctima de un golpe, pero ciertos grupos están más en riesgo. Por ejemplo:
Estos son algunos signos que debemos buscar para evitar un ataque de Quishing:
Si un código QR parece dañado, extraviado o fuera de lugar, lo mejor es evitar escanearlo. Los ciberdelincuentes suelen colocar sus propias etiquetas QR sobre las legítimas.
Tenga cuidado si de repente se le pide que introduzca datos personales, información financiera o descargue software después de escanear un código.
Verifique los códigos QR prometiendo premios, descuentos o recompensas, podrían ser trampas. Los estafadores suelen utilizar ofertas atractivas para atraer a las víctimas.
Inspeccione la URL incrustada en el código QR. Si es excesivamente largo, confuso o contiene caracteres aleatorios, podría conducir a un sitio de phishing. También debe evitar sitios a los que se acceda a través de códigos QR que soliciten pagos y, en su lugar, introducir una URL conocida y fiable para las transacciones.
Sea escéptico con los códigos QR que solicitan permisos excesivos (p. ej., acceso a su cámara, contactos o ubicación) más allá de lo necesario.
Un ataque frecuente de Quishing es la estafa del parking meter que ha sido destacada por la Better Business Bureau (BBB), que implica a cibercriminales que colocan códigos QR falsos en parking meters o terminales de pago. El conductor que no lleve dinero en efectivo en la mano puede escanear el código para pagar el aparcamiento, solo para ser dirigido a un sitio fraudulento que solicite los datos de su tarjeta de crédito. Es posible que la víctima no se dé cuenta de que ha sido estafada hasta días o semanas más tarde cuando comienzan a aparecer cargos inesperados en su estado de cuenta.
Otra amenaza creciente implica que los estafadores se hagan pasar por empresas de servicios públicos legítimas o agencias gubernamentales utilizando códigos QR falsos. Las víctimas reciben lo que parece una comunicación oficial, instándoles a escanear el código para pagar una factura, pero en lugar de pagarla, se les dirige a un sitio de impostores diseñado para robar su información financiera.
¡Piense antes de escanear! Estos son algunos consejos prácticos para ayudar a evitar que tanto usted como su organización sufran un ataque de Quishing:
Si encuentra un código QR en un espacio público, como una empresa o un restaurante, siempre es una buena idea confirmarlo con un empleado antes de escanear. Como sugiere la BBB, preste especial atención a cualquier signo de que el código QR pueda haber sido manipulado.
Los estafadores utilizan cada vez más códigos QR falsos en emails o mensajes de texto de phishing. Nunca escanee un código ni haga clic en un enlace enviado por un remitente desconocido.
Algunas aplicaciones de lectores de códigos QR proporcionan una vista previa de la URL antes de redirigirle a un sitio web. Este paso adicional puede ayudarle a evaluar si el enlace es fiable antes de continuar.
Mantenga actualizado el software de seguridad de su dispositivo, ya que esto puede ayudar a detectar y bloquear descargas maliciosas que puedan resultar del análisis de un código QR dañino.
Cuando utilice códigos QR para pagos y especialmente si se encuentra en una ubicación desconocida, debe verificar que el terminal o sitio web de pago es legítimo antes de introducir cualquier información financiera.
Trend Micro™ Email Security examina los remitentes maliciosos y analiza el contenido para filtrar spam. Analiza la autenticidad del remitente y la reputación y defiende frente a URL maliciosas.
Las técnicas intergeneracionales de defensa frente a amenazas refuerzan la protección frente a amenazas estableciendo visibilidad y control en los cambiantes panorama de amenazas.