Nueva técnica de phishing que se vale de códigos QR para engañar a sus víctimas, y así obtener información sensible o redirigirlas a un sitio web malicioso.
Centroamérica, 31 de octubre de 2024. El cibercrimen es un negocio, y por ello los actores maliciosos no descansan en su búsqueda de nuevas estrategias para engañar a sus víctimas. En esta ocasión, los estafadores se aprovechan de la implementación masiva de los códigos QR (utilizados, por ejemplo, para acceder a ofertas, consultar el menú de un restaurante, obtener información de un producto o incluso realizar pagos) como un nuevo medio para engañar a las personas. ESET, compañía líder en detección proactiva de amenazas, alerta sobre qué es el quishing, cómo funciona, por qué puede ser peligroso y de qué manera es posible protegerse.
El quishing es una técnica de phishing que utiliza códigos QR para engañar a sus víctimas, logrando que revelen sus datos personales u otra información sensible, o bien redirigiéndolos a sitios web maliciosos. Funciona de manera similar a los ataques de phishing tradicionales, pero en lugar de usar un correo electrónico o un SMS con un enlace malicioso, requiere que la víctima escanee el código QR falso.
Para llevar a cabo esta técnica, los actores maliciosos insertan un código QR en redes sociales, anuncios en internet, correos electrónicos, calcomanías o folletos físicos para que las personas lo escaneen.
Estos atacantes emplean técnicas de ingeniería social para convencer a la víctima de que el código es legítimo y de que, al escanearlo, obtendrá algún beneficio o recompensa, a menudo haciéndose pasar por empresas o marcas reconocidas mundialmente. Es común que los ciberatacantes recurran a mensajes que apelan al sentido de urgencia, incentivando al usuario a escanear el código QR para evitar, por ejemplo, la suspensión de una cuenta.
Una vez escaneado, el QR puede redirigir a la víctima a un sitio web malicioso para robarle datos personales o información sensible. Por ejemplo, podría llevarla a un sitio que simule ser el de un banco y solicitar sus credenciales bancarias. Otra opción es que, mediante el código QR, se descargue malware en el dispositivo.
Existen buenas prácticas para reducir el riesgo de ser víctimas de quishing. ESET recomienda las siguientes:
- Verificar el origen del código QR: antes de escanearlo, asegúrate de que proviene de una fuente confiable.
- Usar una aplicación que permita previsualizar la URL a la que conduce el código QR, para confirmar si es segura.
- Tener precaución con códigos QR inesperados o de remitentes desconocidos que prometen beneficios llamativos; en muchos casos, es mejor no escanearlos para evitar posibles riesgos.
- Mantener instalada y actualizada una solución de seguridad confiable en dispositivos móviles, especialmente en aquellos donde se realizan operaciones bancarias o se maneja información sensible.