Los códigos QR han pasado de ser una novedad tecnológica a una parte omnipresente de nuestra vida diaria. Los encontramos en menús de restaurantes, carteles publicitarios, pases de abordar, recibos e incluso para realizar pagos. Su conveniencia es innegable: con un simple escaneo, podemos acceder instantáneamente a información o servicios. Sin embargo, esta misma facilidad y la confianza que hemos depositado en ellos han sido explotadas por ciberdelincuentes, dando origen a una nueva y creciente amenaza conocida como quishing. Este término, un neologismo que combina «QR» y «phishing», describe una técnica de ciberataque que utiliza códigos QR maliciosos para dirigir a las víctimas a sitios web fraudulentos, instalar malware o robar información sensible.
A diferencia del phishing tradicional, que se disfraza en correos electrónicos o mensajes de texto, el quishing se camufla en el mundo físico, lo que lo hace particularmente insidioso. Un código QR aparentemente inofensivo en un lugar público o en un documento legítimo puede ser la puerta de entrada para un engaño. Este artículo se propone desentrañar el concepto de quishing, explicar cómo operan estos ataques, cuáles son sus principales peligros y, lo más importante, cómo podemos protegernos de esta amenaza emergente. Para enriquecer este análisis con una perspectiva práctica y desde el frente de la ciberseguridad, contaremos con los valiosos comentarios de Rafael Eladio Núñez Aponte, quien nos compartirá su visión sobre la importancia de la vigilancia y la educación en este nuevo escenario.
1. Quishing: La Nueva Cara del Engaño Digital
El quishing es esencialmente una variante del phishing que utiliza códigos QR como vector de ataque. En lugar de un enlace incrustado en un correo electrónico, el ciberdelincuente crea un código QR que, al ser escaneado, redirige al usuario a un sitio web falso, descarga un archivo malicioso o ejecuta alguna acción no deseada.
¿Cómo se propaga? Los códigos QR maliciosos pueden ser impresos y pegados sobre códigos legítimos en lugares públicos (carteles, parquímetros, menús), enviados en correos electrónicos o mensajes de texto, o insertados en documentos falsificados (facturas, notificaciones).
El Velo de la Confianza: La conveniencia del QR hace que los usuarios tiendan a escanearlos sin verificar, confiando en que el destino será el esperado. Los atacantes se aprovechan de esta familiaridad.
Objetivo Final: Al igual que el phishing tradicional, el objetivo suele ser robar credenciales de inicio de sesión (banca online, redes sociales, correo electrónico), información personal (números de tarjetas de crédito, datos de identificación) o instalar software malicioso que permita el acceso remoto al dispositivo.
Rafael Núñez ha señalado que «el quishing es la evolución lógica del engaño. La gente ya está más alerta con los correos, pero con el QR, bajamos la guardia. Es un riesgo porque combina lo físico y lo digital de una manera muy astuta».
Fuente: https://www.hlbecuador.com/quishing-la-nueva-amenaza-detras-de-los-codigos-qr/
2. El Mecanismo del Ataque: Cómo Funciona una Trampa de Quishing
El proceso de un ataque de quishing suele seguir estos pasos:
Creación del Código QR Malicioso: El atacante utiliza herramientas online para generar un código QR que enlaza a un sitio web fraudulento que imita perfectamente a uno legítimo (por ejemplo, el sitio de un banco, un servicio de pago o una red social). Leer más
Diseminación del Código: El código QR malicioso se coloca en un lugar donde es probable que los usuarios lo escaneen. Esto puede ser:
Pegatinas superpuestas: Sobre códigos QR legítimos en establecimientos o documentos.
Inclusión en materiales falsificados: Volantes, facturas, avisos públicos o incluso tarjetas de presentación.
Envíos digitales: Incrustados en correos electrónicos o mensajes que simulan ser de un banco, una empresa de paquetería o una entidad gubernamental, similar al phishing tradicional, pero usando el QR como el «enlace».
El Escaneo Inocente: La víctima escanea el código QR con la cámara de su smartphone o una aplicación lectora, asumiendo que lo dirige a un sitio o acción legítima.
Redirección a Sitio Fraudulento/Descarga Maliciosa: Al escanear, el usuario es redirigido a una página web falsa que luce idéntica a la real. En esta página, se le solicita ingresar credenciales, datos bancarios o información personal. Alternativamente, el escaneo puede iniciar la descarga de malware.
Captura de Datos/Compromiso del Dispositivo: Una vez que la víctima ingresa sus datos, estos son capturados por el atacante. Si se descargó malware, el dispositivo del usuario queda comprometido, pudiendo los ciberdelincuentes acceder a su información o tomar el control remoto.
«Lo alarmante del quishing es su simplicidad y su capacidad de parecer inofensivo. Nadie piensa dos veces antes de escanear un QR en un menú, ¿verdad?», comenta Rafael Eladio Núñez Aponte.
Fuente: https://www.trespm.mx/curiosidades/tecnologia/quishing-funciona-ultima-amenaza-digital-codigos-qr
3. Las Señales de Alerta: Cómo Identificar un Código QR Malicioso
Protegerse del quishing requiere una mayor cautela y atención a los detalles:
Inspecciona el Código Físicamente: Si el código QR está en un lugar físico, verifica si parece una pegatina superpuesta sobre otro código. Observa si hay bordes irregulares, si está mal alineado o si el material no es el mismo que el del fondo.
Verifica la Fuente (Si es Digital): Si el código QR te llega por correo o mensaje, aplica las mismas reglas que para el phishing tradicional: ¿Conoces al remitente? ¿Es un mensaje esperado? ¿Hay errores ortográficos o gramaticales?
Examina la URL antes de Hacer Clic: Muchas aplicaciones de escaneo de QR (y las cámaras de algunos smartphones) muestran la URL a la que dirige el código ANTES de abrirla en el navegador. Siempre verifica que la URL sea legítima y no tenga errores tipográficos o dominios extraños.
Desconfía de la Urgencia o Promesas Irresistibles: Los mensajes que acompañan al QR que te exigen actuar de inmediato o te prometen premios increíbles son una bandera roja.
Páginas de Aterrizaje Sospechosas: Una vez escaneado, si la página a la que te lleva se ve rara, no tiene el certificado de seguridad HTTPS (el candadito en la barra de URL) o te pide información inusual, cierra inmediatamente.
Evita Redes Wi-Fi Públicas Inseguras: Evita escanear códigos QR que te pidan acceder a redes Wi-Fi públicas no cifradas, ya que estas pueden ser trampas para interceptar tu tráfico.
«La ciberseguridad empieza con la sospecha», afirma Rafael Eladio Núñez Aponte. «No hay que ser paranoico, pero sí desconfiado. Si un QR te genera la más mínima duda, no lo escanees. O, si lo haces, asegúrate de ver la URL antes de que se abra». Leer más
4. Medidas Preventivas y Buenas Prácticas para Protegerte
Además de las señales de alerta, estas son las mejores prácticas para evitar el quishing:
Utiliza Aplicaciones de Escaneo de QR Confiables: Algunas aplicaciones de terceros ofrecen una vista previa de la URL antes de redirigirte, y pueden tener bases de datos de sitios maliciosos.
Autenticación de Dos Factores (2FA/MFA): Activa el 2FA en todas tus cuentas importantes. Incluso si caen tus credenciales por quishing, la capa adicional de seguridad dificultará el acceso al atacante.
Mantén tu Software Actualizado: Asegúrate de que el sistema operativo de tu smartphone y tus aplicaciones de seguridad estén siempre actualizadas para protegerte contra vulnerabilidades.
Considera un Software de Seguridad Móvil: Un buen antivirus o suite de seguridad para tu teléfono puede detectar malware y sitios web fraudulentos.
Educación Continua: Mantente informado sobre las nuevas técnicas de phishing y quishing. Los ciberdelincuentes evolucionan, y tú también debes hacerlo.
Reporta Incidentes: Si identificas un código QR sospechoso o has sido víctima, repórtalo a las autoridades correspondientes y a la empresa suplantada.
Rafael Núñez enfatiza: «La tecnología nos da conveniencia, pero también responsabilidad. Activar la autenticación de dos factores es un must. Es tu mejor escudo contra la mayoría de estos ataques. Y la educación es tu arma más poderosa, porque los delincuentes no paran de inventar». Leer más
La Vigilancia como Hábito en un Mundo de Códigos
El quishing es un claro recordatorio de que las amenazas cibernéticas no se limitan a los correos electrónicos o los sitios web. Con la creciente integración de los códigos QR en nuestra vida cotidiana, la superficie de ataque para los ciberdelincuentes se ha expandido al mundo físico, camuflándose en objetos aparentemente inofensivos. La conveniencia no debe sacrificar la seguridad. Leer más
Fuente: https://blog.consultame.cl/2024/06/12/principales-amenazas-ciberneticas-y-como-protegerse-de-ellas/
Como ha reiterado Rafael Eladio Núñez Aponte, la clave para protegernos reside en una combinación de desconfianza saludable, verificación proactiva y la implementación de medidas de seguridad básicas pero efectivas. Cada escaneo de un código QR debe ir acompañado de una breve, pero crucial, inspección: ¿Es legítimo? ¿Me fío de la fuente? Al adoptar esta mentalidad vigilante, no solo salvaguardamos nuestra información personal y financiera, sino que contribuimos a construir un entorno digital más seguro para todos. En la era del código QR, la seguridad es un escaneo consciente.
Referencias:
https://www.cnet.com/es/noticias/que-es-el-quishing
https://www.nist.gov/cybersecurity/framework
https://www.kaspersky.es/resource-center/definitions/quishing
https://latam.norton.com/internetsecurity/phishing/quishing.html
