Curiosidades De Hackers
Noticias

QRishing o QR phishing: Qué son los códigos QR y cómo se utilizan. Cómo detectarlos. Cómo protegernos

CuriosidadesDeHackers

Los códigos QR están por todos lados: en restaurantes, envases de yogur, exposiciones de los museos, en las facturas de ciertos servicios o la lotería. Y los usuarios los utilizan para abrir sitios web, descargar aplicaciones, recopilar puntos de programas de fidelidad, hacer pagos y transferir dinero e, incluso, para donar a organizaciones benéficas. Esta tecnología tan accesible y práctica resulta cómoda para muchos, incluidos, como siempre, los ciberdelincuentes, que ya han desplegado múltiples estrategias basadas en los códigos QR.

    De la unión de los términos QR y phishing surge el nombre de este fraude, el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada.

Qué son los códigos QR y cómo se utilizan

Hoy en día, casi todos tenemos un smartphone y muchos de los modelos actuales ya cuentan con un escáner de códigos QR incorporado, pero cualquiera puede descargar una aplicación que lea estos códigos o elegir una especial, por ejemplo, para un museo.

Para escanear un código QR, el usuario solo tiene que abrir la aplicación del escáner y apuntar la cámara del teléfono hacia el código. La mayoría de las veces, el smartphone te dirigirá a cierto sitio web o a descargar una aplicación. Sin embargo, existen otras opciones, de las que hablaremos más adelante.

Asimismo, algunas aplicaciones pueden crear códigos QR para ofrecer cierta información a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contraseña de tu red wifi para invitados o información bancaria.

Inventado en Japón en los años 90, desde la pandemia se ha popularizado enormemente para reducir el contacto con soportes físicos en usos como el certificado de vacunación, el menú del restaurante o en el mobiliario urbano. Esto no ha pasado desapercibido para los ciberdelincuentes que pueden «colarnos» enlaces maliciosos.

Veamos algunos ejemplos reales

        • Multas de tráfico con un QR que conduce a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe.
• Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
        • Combinado con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales.
        • Colocando pegatinas encima el código QR real en un establecimiento comercial.

Ultima campaña

  En primer lugar, la víctima recibe un correo electrónico que incluye su nombre y el de la empresa. En el mensaje se incita a la víctima a escanear un código QR a través de su teléfono móvil. Para ello, los ciberdelincuentes pueden alegar que es necesaria una verificación de la identidad o de un doble factor de autenticación.    Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».

En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.

    En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario
       En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes.    En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización.

 

Problemas y consejos

 
    Los códigos QR permiten a los atacantes ocultar los enlaces maliciosos de manera efectiva, ya que se esconden dentro de la imagen de los mismos, que a su vez están incrustadas en una imagen PNG o un archivo PDF adjunto.    Aunque los códigos QR tienen legítimos propósitos, su uso en campañas maliciosas está en aumento debido a su efectividad en comparación con los enlaces tradicionales en los correos de phishing: los dispositivos móviles no suelen estar regulados por las empresas, lo que los coloca fuera del alcance de los sistemas de seguridad empresariales.

Los expertos animan a los usuarios a no fiarse de ningún e-mail, SMS o similar que le redirija a un sitio web si no están 100% seguros de conocer al remitente. Así, cualquier QR que no parezca fiable no debería ni llegar a ser escaneado… y, aun pareciéndolo, debemos verificar las URLs durante todo el proceso (pues el dominio puede cambiar varias veces con cada clic) y asegurarnos de que coincide con un dominio legítimo.

Cómo detectar este fraude

    La prevención se basa en tratar de identificar la dirección a la que nos remite el código QR:

    Aunque no es infalible, si la web empieza por https quiere decir que cumple con un mínimo de seguridad y protección.

            • Extremar precauciones y comprobar que el enlace web o url no es sospechoso, antes de abrirlo. Si es un enlace acortado mejor «alargarlo» antes para verificarlo o no abrirlo.

            • Si accedemos a una web que nos solicite datos, es preferible acceder nosotros directamente desde la url completa o desde la propia aplicación.
            • Como dueño de una empresa comprueba los QR que pones a disposición de tus clientes para comprobar que no han sido falseados.
• Haz una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original.
            • Utilizar aplicaciones que permitan ver el enlace antes de abrirlo. En el caso de dispositivos iOS se hace desde la propia cámara pero debes activar la funcionalidad. En Android dispones de la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que encontrarás en la Play Store.
             • TENER SENTIDO COMUN


También te puede gustar

Protege estas 3 plataformas que usas todos los días y no te estafarán en Internet

CuriosidadesDeHackers

Unitree Go2: un perro robótico que entiende e interpreta las órdenes de su amo

CuriosidadesDeHackers

Los peligros del sharenting: por qué compartir información de tus hijos en redes sociales supone graves riesgos

CuriosidadesDeHackers

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *