Por Carolina De Seta ✍️
En la era digital, es cada vez más común encontrarse con códigos QR en diferentes situaciones, ya sea para realizar pagos, acceder a información o interactuar con servicios. Si aún no estás familiarizado con esta tecnología, te explicaremos brevemente.
Un código QR (Quick Response, en español, «respuesta rápida») es un cuadrado compuesto por pequeños módulos negros sobre un fondo blanco. Estos módulos forman patrones específicos que pueden ser escaneados rápidamente por la cámara de un dispositivo, como un celular para acceder a cierta información.
Aunque los códigos QR han ganado popularidad por su conveniencia, también se han convertido en un objetivo para los ciberdelincuentes. Esto ha dado lugar a una nueva modalidad de ataque conocida como QRishing.
¿Qué es el QRishing?
El QRishing es una combinación de palabras entre QR y phishing, un tipo de ciberataque que busca engañar a los usuarios para que proporcionen información sensible, como contraseñas o datos bancarios. En lugar de utilizar un enlace en un correo electrónico, como ocurre en el phishing tradicional, los atacantes en el QRishing emplean códigos QR vinculado con enlaces maliciosos.
Estos códigos QR están diseñados para redirigir a la víctima a sitios web fraudulentos que parecen legítimos. Una vez en el sitio, la víctima puede ser engañada para que ingrese información personal, como credenciales de inicio de sesión o números de tarjetas de crédito. Además, los atacantes pueden aprovechar esta técnica para instalar malware (software o programa malicioso) en el dispositivo de la víctima para poder obtener el control del mismo o robar información sensible.
Técnicas comunes del QRishing
- Códigos QR en Correos Electrónicos: similar al phishing tradicional, los ciberdelincuentes envían correos electrónicos que parecen legítimos, solicitando que el destinatario escanee un código QR para verificar una cuenta, confirmar una compra o acceder a información importante.
- Códigos QR Falsos en Lugares Públicos: los atacantes colocan códigos QR maliciosos en lugares públicos, como anuncios, folletos o mesas de restaurantes, haciéndolos pasar por accesos a menús, promociones o Wi-Fi gratuito. También pueden pegar un código QR malicioso sobre uno legítimo, redirigiendo el pago o la información a sus cuentas.
- Suplantación en Documentos Oficiales: los ciberdelincuentes insertan códigos QR maliciosos en documentos que parecen oficiales, como facturas, recibos o formularios, con el objetivo de robar información bancaria o personal.
- Redireccionamiento a Sitios Falsos: al escanear un código QR, la víctima es dirigida a un sitio web que parece legítimo, como una página de inicio de sesión de un banco o una red social, pero que en realidad es un clon diseñado para robar credenciales.
¿Cómo hacer para protegerse contra el QRishing?
- Verifica el Origen: siempre verifica la fuente del código QR antes de escanearlo. Evita escanear códigos QR de fuentes no confiables, como carteles o correos electrónicos sospechosos. En espacios públicos, verifica la legitimidad del código con el personal del establecimiento. De ser el código de una página oficial, evite escanearlo e ingrese directamente por su buscador de preferencia.
- Configura tu Dispositivo para Preguntar Antes de Actuar: ajusta tu dispositivo para que te pida confirmación antes de abrir cualquier enlace después de escanear un código QR. Esto te dará tiempo para verificar la seguridad del enlace.
- Utiliza una Aplicación de Escaneo Segura: usa aplicaciones de escaneo de códigos QR que te permitan previsualizar la URL antes de abrirla. Algunas aplicaciones de seguridad también pueden detectar si el enlace es potencialmente peligroso.
- Evita el Uso de Códigos QR para Pagos Desconocidos: no realices pagos ni compartas información personal a través de códigos QR que provengan de fuentes no verificadas o inesperadas. Recuerda que para realizar un pago, nunca te pedirán datos personales.
- Mantén Actualizado tu Software: asegúrate de que tu dispositivo tenga el software de seguridad más reciente, ya que las actualizaciones suelen incluir parches para vulnerabilidades conocidas que los atacantes pueden explotar.
- Educa a Otros sobre QRishing: informa a tus amigos, familiares y conocidos sobre los riesgos del QRishing y cómo pueden protegerse. La concienciación es una de las herramientas más poderosas contra este tipo de ataques.
- Para Negocios: si gestionas un negocio, verifica regularmente que los códigos QR no hayan sido alterados o sustituidos por códigos maliciosos. Esta medida es crucial para proteger a tus clientes y la reputación de tu negocio.