• ¿Qué es el QR Phishing? Cómo detectar y prevenir las estafas de códigos QR

¿Qué es el QR Phishing? Cómo detectar y prevenir las estafas de códigos QR

Blog

El phishing mediante códigos QR (Quishing) es una amenaza creciente en la que códigos QR maliciosos conducen a sitios de phishing o malware. Descubra cómo funciona y cómo mantenerse a salvo.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 6 min
¿Qué es el QR Phishing? Cómo detectar y prevenir las estafas de códigos QR
Índice-

Quishingo código QR phishinges la última de una larga lista de amenazas a la ciberseguridad. Aunque suene ridículo, es útil conocerlo porque puede evitar la pérdida de dinero, tiempo y la reputación de su empresa.

Los códigos QR están por todas partes: en menús, carteles callejeros, aplicaciones y sitios web de empresas. Son populares porque los usuarios pueden usar su cámara para escanear el código QR como si fuera un enlace web para llegar a un sitio web. 

Si algo es fácil para los usuarios, también lo es para los ciberdelincuentes. Estos malintencionados utilizan los códigos QR para redirigir a los usuarios a un sitio web distinto al que creen que van, abriendo sus datos personales a los hackers. 

Este artículo explicará cómo los ciberdelincuentes explotan los códigos QR para ejecutar ataques de phishing. Abarcará tácticas comunes, ejemplos del mundo real, estrategias de prevención y mejores prácticas de ciberseguridad.

Puntos clave

  • El phishing QR (Quishing) aprovecha los códigos QR para redirigir a los usuarios a sitios maliciosos que roban credenciales o instalan malware.
  • Los atacantes camuflan códigos QR maliciosos en correos electrónicos, carteles, sitios web y facturas para engañar a las víctimas y hacer que los escaneen.
  • Entre las estafas de Quishing más comunes se encuentran las páginas de inicio de sesión falsas, las encuestas y los códigos QR fraudulentos de aparcamiento o de pago.
  • El phishing QR es difícil de detectar porque los códigos QR carecen de identificadores visuales, y la seguridad móvil suele ser más débil.
  • Para prevenir los ataques, es importante concienciar a los usuarios, utilizar aplicaciones de escaneado de códigos QR y activar la autenticación multifactor (MFA).
  • Las organizaciones deben implantar soluciones de ciberseguridad y formar a sus empleados para reconocer y mitigar las amenazas de phishing QR.

¿Qué es el QR Phishing (Quishing)?

El phishing QR (Quishing) se produce cuando los hackers utilizan códigos QR para redirigir a los usuarios a sitios maliciosos o fraudulentos en lugar del sitio al que el usuario cree que va cuando escanea el código. Los sitios a los que se redirige al usuario son sitios que los malintencionados utilizan para robar información de los usuarios, como credenciales y datos bancarios, o para instalar software malicioso con el fin de robar otra información. 

Los ataques de quishing son más difíciles de detectar que los ataques de phishing tradicionales porque copiar códigos QR en busca de contenido malicioso es más complejo que escanear URL tradicionales. Por eso es más difícil atrapar a los quishers que a los phishers. 

Cómo funcionan los ataques de phishing mediante QR

Saber exactamente cómo funciona el QR phishing le ayudará a comprender cómo combatirlo y mantener a salvo a sus clientes. En primer lugar, veamos un desglose paso a paso del Quishing y, a continuación, los escenarios de ataque más comunes para que sepas a qué atenerte.

Desglose paso a paso de los ataques QR Phishing

Examinemos cómo funciona exactamente el Quishing.

Los pasos del Quishing incluyen:

  1. Creación de códigos QR maliciosos: Los hackers crean códigos QR maliciosos que contienen enlaces a sitios web fraudulentos que darán ventajas a los hackers en lugar de a los creadores del QR original. 
  2. Colocación en correos electrónicos, carteles, sitios web y mensajes: Los estafadores distribuyen sus códigos QR y los colocan sobre los originales, para que las víctimas no sepan que están escaneando un código fraudulento. 
  3. La víctima escanea y es redirigida a un sitio de phishing o de descarga de malware: Cuando las víctimas hacen esto, les resulta imposible saber que un código QR es falso porque no hay rasgos identificativos que los diferencien de los originales. 

Escenarios comunes de ataques de quishing

Muchos ataques se producen cuando los estafadores QR tienden trampas virtuales a las víctimas utilizando códigos QR. 

Algunos de los escenarios de ataque Quishing más comunes incluyen:

  • Páginas de inicio de sesión falsas (por ejemplo, portales bancarios, de correo electrónico o de empresas): Los estafadores suelen crear páginas de inicio de sesión que parecen casi idénticas a las originales de los sitios web que contienen clientes con información sensible que los hackers desean, como bancos o portales de empresas.
  • Encuestas falsas a clientes con incentivos: Todo el mundo quiere ganar dinero fácil rellenando una encuesta rápida, y los estafadores se aprovechan de este deseo para robar información. Las víctimas ceden a su necesidad de ganar dinero mientras rellenan sus datos, que reciben los hackers en lugar de las empresas legítimas.
  • Códigos QR en facturas falsas de aparcamiento o de pago: ¿Alguna vez ha recibido un aviso de aparcamiento o una factura? Mucha gente sí, y estos códigos QR falsos se aprovechan de la urgencia que siente la gente por pagar facturas o multas de aparcamiento para evitar sanciones o incluso penas de cárcel. La urgencia lleva a la explotación por parte de los quishers, que reciben datos bancarios que utilizan para robar dinero.
  • Códigos QR falsos en aplicaciones empresariales: Las empresas no son inmunes a las estafas con códigos QR. Los malintencionados pueden colocar su propio código QR falso sobre uno legítimo, por ejemplo, un CRM o una aplicación de reloj de fichar para un dispositivo móvil. Los estafadores tienen los datos de los empleados y posiblemente acceso a los datos de la empresa.

Por qué es peligroso el QR Phishing

El phishing QR parece sorprender a algunas personas, pero ¿es realmente tan peligroso? La respuesta es sí. 

El quishing puede costar a las víctimas millones de dólares al año porque es difícil de detectar. La gente confía en los códigos QR, los dispositivos móviles tienen una seguridad más débil y a los hackers les resulta fácil burlar los filtros de seguridad tradicionales del correo electrónico, que no tienen el perfil de diseño para proteger contra esta generación de piratas informáticos. 

El coste de la ciberdelincuencia mundial ha alcanzado los 9,22 billones de dólares y es probable que aumente debido a la introducción de nuevos ciberdelitos como el sQuishing. Actualmente está costando a empresas y clientes enormes cantidades de dinero, por lo que merece la pena tomar medidas para evitarlo.

Un ejemplo real de ataque QR Phishing

Una cosa es enterarse de los ataques de Quishing, pero sólo te das cuenta cuando oyes hablar de la forma en que ha afectado a las empresas. empresas y comunidades con ejemplos reales. El primero de estos ejemplos es el de un desafortunado individuo que perdió 17.000 dólares.

Una víctima pierde 13.000 libras por culpa de los estafadores del QR

En noviembre de 2023, una desafortunada señora de 71 años de Newcastle, Inglaterra, fue víctima de una estafa con un código QR, que le ocasionó una enorme pérdida de $17,000. La parte maliciosa logra su estafa colocando el código QR falso sobre el oficial en una señal de aparcamiento de coches.

Al principio, parecía que el dinero de la señora estaba a salvo, porque cuando introdujo sus datos bancarios en el sitio web fraudulento, su banco detuvo la transacción. Por desgracia, los estafadores utilizaron otra técnica: se hicieron pasar por personal bancario y consiguieron animarla a pedir un préstamo de 9.500 dólares. La parte maliciosa actuó entonces con rapidez, cambiando sus datos bancarios, obteniendo nuevas tarjetas y creando una cuenta en línea. 

El resultado del gobierno local fue retirar todos los códigos QR de todos y cada uno de los aparcamientos de TransPennine Express.

Estos incidentes pueden afectar a las personas durante muchos años después de producirse, ya que es un gran reto recuperar ahorros de miles de euros, como vemos en el ejemplo anterior. 

Cómo protegerse contra el QR Phishing

Las estafas de phishing QR son astutas y difíciles de detectar. ¿Y la buena noticia? Aún es posible evitarlos. 

Siga estas buenas prácticas y medidas técnicas de seguridad para protegerse a sí mismo y a su organización contra los ataques de phishing QR:

Concienciación de los usuarios y buenas prácticas

En primer lugar, siempre debes verificar las fuentes de los códigos QR. Puedes utilizar una aplicación especial para ello, pero los estafadores de QR son astutos, así que asegúrate de que la aplicación de verificación de QR es real antes de instalarla y utilizarla, porque los estafadores también pueden crear aplicaciones falsas para acceder a tus datos. 

A continuación, utiliza aplicaciones que escaneen códigos QR antes de abrir enlaces. Esta buena práctica evita que abras enlaces cuando no estás seguro de hacia dónde te diriges. 

Y por último, si alguna vez tienes dudas sobre una fuente, no escanees un código QR y verifícalo antes de escanearlo. 

Medidas técnicas de seguridad

Si usted es una organización, y especialmente una empresa, tiene mucho más que perder que la mayoría de los individuos, como por ejemplo empleados millones de dólares y daños irreparables a la reputación de su empresa.

Implemente la autenticación multifactor (MFA) para los inicios de sesión con el fin de evitar los ataques de phishing con códigos QR. Este método consiste en enviar un código al teléfono del usuario cada vez que quiera iniciar sesión, lo que evita los estafadores de códigos QR con otra capa de seguridad.

Su segundo enfoque debe ser el uso de soluciones de ciberseguridad con funciones para detectar estafas de phishing QR. Esta función te mantendrá a salvo de esta amenaza. 

Por último, ofrezca formación que ayude a los empleados a conocer las amenazas de ingeniería social, como las estafas de phishing QR, para que puedan detectarlas y evitarlas con eficacia. 

Nota final

El phishing de QR es peligroso porque puede costar dinero a las personas, causar daños a los datos y perjudicar la reputación de la organización. 

Es difícil descubrir las estafas de phishing QR en comparación con las estafas de phishing tradicionales porque los códigos QR son más complejos y difíciles de escanear para comprobar su legitimidad. Afortunadamente, algunas medidas pueden mantenerte a salvo, como las aplicaciones de preescaneado de QR, la autenticación multifactor y la formación de los empleados en torno a las amenazas de ingeniería social para reducir estos ataques.

Si sigue estas medidas y prácticas, podrá evitar la mayoría de las amenazas de phishing de QR y proteger a sus empleados y a usted mismo de perder dinero.

CTA

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Por qué necesita un proveedor DMARC si utiliza Microsoft Office 365 o...microsoft-outlook-powerdmarcCómo configurar -SPF,-DKIM,-y-DMARC-para-el-cliente.ioCómo configurar SPF, DKIM y DMARC para Customer.io