Cuidado con el quishing, la nueva estafa relacionada con códigos QR: consejos para protegerte.

El phishing ha evolucionado y ahora surge una nueva amenaza denominada "quishing", que involucra códigos QR fraudulentos utilizados para robar información personal. Este tipo de ataque ha sido advertido recientemente por varios bancos del Reino Unido junto con el Centro Nacional de Ciberseguridad del Reino Unido y la Comisión Federal de Comercio de EE. UU., debido a su creciente sofisticación.

En un típico ataque de quishing, un código QR se envía como un archivo adjunto en un correo electrónico que aparenta provenir de una fuente legítima, como un prestamista. Al escanear el código, el usuario es redirigido a un enlace malicioso que suele solicitar datos personales o intenta instalar malware. En algunos casos, incluso podría tratar de capturar un token de autenticación multifactor para eludir las credenciales de inicio de sesión.

Además, este tipo de ataques ha comenzado a manifestarse en el mundo físico. A inicio de este año, se alertó a los conductores sobre códigos QR fraudulentos colocados en máquinas de estacionamiento. Al escanear dichos códigos, los usuarios son llevados a sitios web que buscan robar información de pago al engañarlos haciéndoles creer que están pagando por el estacionamiento.

La proliferación de estos ataques ha aumentado desde la pandemia, cuando el uso de códigos QR se disparó, convirtiéndose en un método común y aparentemente seguro para acceder a diversos servicios e información.

Al igual que los ataques de phishing convencionales, el quishing busca engañar a las víctimas haciéndoles creer que han recibido un enlace de una fuente confiable. Los correos electrónicos suelen simular ser de un banco o proveedor de servicios de correo, incitándolos a confirmar sus datos para "asegurar" sus cuentas. Estos fraudes operan a través de sitios web falsos que imitan a los reales para hacer que la víctima crea en su legitimidad.

Una de las características que complican la detección de quishing es que el contenido de un código QR no es visible a simple vista, lo que dificulta su verificación. Además, los códigos pueden eludir herramientas de ciberseguridad, que a menudo no logran comprobar si un código adjunto es genuino. Los estafadores también utilizan tácticas más elaboradas, como secuestrar cuentas de correo legítimas y aprovechar información personal obtenida de redes sociales para personalizar los correos y darles una apariencia más relevante.

Un informe de Perception Point destacó una variante de este esquema que dirige a los usuarios a me-QR.com, un sitio legítimo para generar códigos QR, donde luego se escanea otro código que redirige a una página maliciosa alojada en SharePoint, la plataforma de colaboración en línea de Microsoft.

Según una encuesta realizada por McAfee, más del 20% de las estafas en línea en el Reino Unido podrían estar relacionadas con códigos QR. A medida que bancos y organismos reguladores expresan su preocupación, queda claro que el quishing se está posicionando como una de las principales amenazas en el ámbito de las estafas en línea.