Los métodos de ataque de los ciberdelincuentes cambian continuamente a medida que buscan posibles puntos débiles en la seguridad. Un método de ciberataque emergente (o, tal vez, posiblemente emergente) es el phishing o “qishing” mediante códigos QR. Esta técnica utiliza el omnipresente código QR para engañar a los usuarios para que expongan información confidencial o accedan a sitios maliciosos. Este artículo cubre el funcionamiento del phishing QR y las estrategias para combatirlo.

Sin embargo, queremos dejar claro que actualmente hay poca evidencia de que el phishing basado en QR haya alcanzado niveles problemáticos. Si bien la prensa ha informado sobre incidentes de supuesto phishing QR, los detalles específicos de los incidentes son muy confusos y es posible que las personas afectadas hayan sido estafadas de otras formas más tradicionales. De manera similar, algunos incidentes pueden atribuirse a actores de amenazas que prueban el terreno en lugar de ser campañas serias. Dicho esto, como es al menos un riesgo teórico, vale la pena analizarlo.

Phishing QR: ¿una nueva frontera en el cibercrimen?

Los códigos QR se han convertido en un elemento básico en la vida cotidiana y ofrecen una forma rápida y conveniente de acceder a sitios web, información y servicios. Sin embargo, esta comodidad también abre potencialmente una nueva vía para los ciberdelincuentes.

El phishing QR implica incorporar enlaces maliciosos dentro de códigos QR, dirigiendo a los usuarios desprevenidos a sitios de phishing diseñados para robar sus inicios de sesión o su dinero. Los códigos QR maliciosos pueden enviarse por correo electrónico o imprimirse y utilizarse para cubrir los códigos QR existentes que se muestran en lugares públicos. Sin embargo, no está claro si esto realmente está sucediendo o, si es así, con qué frecuencia.

¿Un aumento en los incidentes de phishing QR?

Las tendencias recientes han indicado un posible aumento de los incidentes de phishing QR. Por ejemplo, un informe de Cofense describió una campaña dirigida a una importante empresa energética estadounidense. Sin embargo, no está claro si el repunte es una señal de lo que está por venir o simplemente un caso de malos actores que prueban la viabilidad del phishing QR.

En otro incidente reportado recientemente por la BBC, una mujer en el Reino Unido supuestamente perdió £13,000 en una estafa con códigos QR en una estación de ferrocarril. Los ciberdelincuentes supuestamente reemplazaron uno de los códigos QR que se exhibían en el estacionamiento de la estación por uno que “la enviaba a un sitio web falso que les permitía redirigir pagos e información de la tarjeta, lo que provocó que la víctima, de 71 años, perdiera miles de libras”. Sin embargo, vale la pena señalar que un representante de la empresa que opera el estacionamiento afirmó: “Actuamos rápidamente e inspeccionamos minuciosamente todas las señales de estacionamiento. No se encontró evidencia de calcomanías fraudulentas y no recibimos ningún informe en nuestro sistema de atención al cliente ni en nuestro contacto en las redes sociales”. Entonces, ¿se trató siquiera de un caso de phishing QR? Reemplazar códigos QR en un área que probablemente esté bajo vigilancia parece ser muy arriesgado; ciertamente, mucho más riesgoso que el tradicional phishing por correo electrónico. ¿Por qué alguien correría ese riesgo adicional?

La BBC dice que este incidente “es una de las aproximadamente 1200 estafas QR investigadas por el centro nacional de denuncia de fraudes del Reino Unido en poco más de tres años”.

¿Qué deberías hacer?

En entornos empresariales, el riesgo de los códigos QR se mitiga fácilmente: indique a los empleados que nunca los escaneen. No se nos ocurre ninguna razón válida por la que alguna vez se envíe un código QR por correo electrónico.

Pero, ¿debería escanear un código QR que encuentre en un espacio público como un estacionamiento, especialmente si va a ingresar información financiera? Realmente no podemos responder a eso. El riesgo de que el código haya sido alterado es excepcionalmente pequeño, pero existe cierto riesgo. Si decide escanear, asegúrese de verificar la URL y de que el sitio web parezca legítimo. En caso de duda, pida consejo a un empleado o busque la URL del sitio que necesita visitar y acceda de esa manera.

Soluciones emsisoft

Emsisoft ofrece sólidas soluciones de ciberseguridad que son cruciales en la lucha contra el phishing de todo tipo. Nuestra avanzada tecnología antiphishing está diseñada para bloquear el acceso a sitios de phishing, plataformas de distribución de malware y al propio malware. Lea más sobre nuestras soluciones de seguridad multicapa fáciles de usar para hogares y empresas.

También ofrecemos una extensión de navegador gratuita que bloquea el acceso a sitios web maliciosos. Funciona con Chrome y navegadores basados en Chromium como Microsoft Edge y Brave, así como con Firefox. Puedes encontrar mas aqui.