El cibercrimen se ha convertido en un lucrativo negocio, y los delincuentes cibernéticos no cesan en su intento de hallar nuevas tácticas para engañar a sus víctimas. En esta ocasión, los estafadores han visto una oportunidad en el uso generalizado de los códigos QR, que son comúnmente empleados para acceder a ofertas, consultar menús de restaurantes, obtener información sobre productos o realizar pagos. La compañía líder en detección proactiva de amenazas, ESET, advierte sobre el fenómeno del quishing, su funcionamiento, por qué representa un riesgo significativo y cómo protegerse de él.
El quishing es una variante del phishing que utiliza códigos QR para engañar a las personas y obtener datos personales o información sensible, redirigiéndolas a sitios web maliciosos. Esta técnica opera de manera similar a los ataques de phishing convencionales, con la diferencia de que en lugar de usar un correo electrónico o mensaje de texto con un enlace dañino, requiere que la víctima escanee un código QR fraudulento.
Para implementar esta táctica, los ciberdelincuentes pueden incluir códigos QR en redes sociales, ofertas en internet, correos electrónicos, calcomanías o folletos impresos, esperando que alguien los escanee.
Esta técnica utiliza métodos de ingeniería social para persuadir a las víctimas de que el código QR es legítimo, prometiendo algún tipo de beneficio o recompensa al escanearlo, a menudo haciéndose pasar por marcas y empresas reconocidas internacionalmente.
Pie de imagen: Ejemplo de una estafa que utiliza el nombre de Amazon para engañar a las víctimas a través del quishing. Fuente: @newmediaguynyc en X.
Además, los atacantes pueden utilizar mensajes que generen un sentido de urgencia, instando al usuario a escanear el código QR para evitar la suspensión de una cuenta, por ejemplo.
Pie de imagen: Ejemplo de una estafa de quishing que apela a la urgencia de la víctima. Fuente: Nibusinessinfo
Al escanear el código QR, la víctima puede ser redirigida a un sitio web malicioso que tiene como fin robar información personal o sensible. Por ejemplo, puede llevar a un sitio que simula ser un banco y solicita las credenciales bancarias de la persona. Otra posibilidad es que, al escanear el código, se descargue malware en el dispositivo.
Existen algunas prácticas recomendadas que pueden ayudar a disminuir el riesgo de caer en el quishing. ESET sugiere las siguientes:
-
Verificar el origen del código QR: antes de escanearlo, asegúrate de que provenga de una fuente confiable.
-
Usar una aplicación que permita previsualizar la URL a la que redirige el código QR, con el fin de verificar si es segura.
-
Tener precaución ante códigos QR que se reciben de forma inesperada o de desconocidos que prometen beneficios atractivos; en muchos casos, lo mejor es no escanearlos para prevenir cualquier inconveniente.
-
Mantener siempre instalada y actualizada una solución de seguridad confiable en los dispositivos móviles, especialmente en aquellos que se utilizan para realizar transacciones bancarias o manejar información sensible.
Con Información de elmauleinforma.cl
