El “QR phishing” o “Quishing” es la nueva tendencia con la que muchos criminales están accediendo y robando datos de todo tipo de personas. Esta amenaza en la ciberseguridad, está siendo utilizada por atacantes que generan códigos QR con el objetivo de acceder a la información privada de las víctimas, en este aspecto siendo similar al phishing tradicional.
¿Cómo funciona el Quishing?
El concepto del ataque es simple. El atacante prepara un código “quick response (QR)”, aprovechando su fácil accesibilidad, además del hecho de que cada vez son más los negocios, carteles con publicidad, promociones, etc. que utilizan esta útil herramienta para facilitar enlaces al público general. Este enlace que ha preparado, como era de esperar, es malintencionado.
Existen multitud de estrategias que utilizan estos atacantes, de las cuales, las más comunes de los casos reportados son códigos QR que se han colocado encima de los originales con una pegatina, por ejemplo en restaurantes, parquímetros y otro tipo de negocios, pudiendo robar el dinero y/o los datos de la tarjeta de crédito de las víctimas. Otro método común son correos electrónicos en los que en lugar de añadir un enlace, añaden la imagen de un QR, consiguiendo con esto “camuflar” enlaces que podrían ser sospechosos.
Hay estrategias más complejas, ya que en definitiva, todo lo que se puede hacer con un enlace, se puede hacer con un código QR, después de todo, este es una representación del mismo.
Estos enlaces, suelen llevar a uno de los phishing más comunes, en el que tras acceder al enlace del código QR, acabas en una web, replicada por el atacante, imitando la web a la que el usuario tenía en mente entrar, así tras poner sus credenciales, almacenarlas en sus sistemas.
Ejemplos de ataques en el que se ha empleado Quishing
Ha habido casos de todo tipo, por ejemplo, en una tetería hubo una clienta que accediendo a un código QR falso, descargó involuntariamente una aplicación maliciosa. Con esta, el atacante pudo acceder a la información privada del teléfono y posteriormente robarle 20.000$.
Otro caso interesante, sucedió en la Universidad de Washington. En esta, los atacantes pusieron avisos con códigos QR recomendando a los alumnos que habiliten la autenticación en dos pasos en sus cuentas, afirmando además que las cuentas que no habiliten esta característica en la autenticación, serían eliminadas. Estos QR, llevaban a un phishing tradicional; una web de apariencia idéntica a la que utilizan los alumnos.
¿Cómo podemos evitar caer en este tipo de ataque?
Según el contexto, tenemos que tener en cuenta las medidas necesarias para así reducir las posibilidades de sufrir un ataque de este tipo. Algunas medidas útiles podrían ser las siguientes:
- Evitar acceder a códigos QR en correos electrónicos. Es algo enrevesado enviar un QR, cuando sencillamente se puede utilizar un enlace. También es conveniente siempre chequear el remitente del mensaje, ya que podría ser una suplantación de identidad, o simplemente un remitente sospechoso, además, hay que tener en cuenta la fiabilidad que te transmita el mensaje, teniendo ojo avisor con errores ortográficos, falta de contexto, mensajes que den la sensación de urgencia o presión, etc.
- Chequear la fuente del código QR. Para esto es importante no tener activa la opción de abrir automáticamente los códigos QR al escanearlos, es importante asegurarse de que el enlace al que accedes no es sospechoso.
- Prestar atención a lo que escaneas. Uno de los métodos más comunes de parte de los atacantes es poner una pegatina sobre el original, así que, es conveniente fijarse y preguntar si se pudiese a una fuente de autoridad, por ejemplo en un restaurante, consultar con un camarero si lo normal es que sea una pegatina, ya que si no es lo normal, alguien externo podría haberla puesto ahí.
- Plantearse alternativas. A veces estos códigos QR te pueden facilitar accesos, ofreciendo una clara comodidad. Sin embargo, a veces es mejor evitarlo y plantearse alternativas. A modo de ejemplo, si un QR se puede usar para acceder a una plataforma de pago, de configuración de tu cuenta o características similares, si existe la posibilidad de simplemente hacerlo desde el sitio oficial en el que puedes confiar, siempre va a ser más seguro que ir directamente desde el QR.
- Comunicar detecciones y revisar. Ante la sospecha o confirmación de que un QR tiene fines maliciosos, siempre hay que comunicarlo, ya que hay personas que podrían caer en la trampa y cuánto antes se solucione mejor. También es responsabilidad del negocio o entidad, controlar que no hay QR externos infiltrados.
Los códigos QR son muy convenientes por su facilidad y accesibilidad, pero cada vez es más frecuente su uso con fines maliciosos. Por eso, es importante estar alerta y tomar las precauciones necesarias para no ser víctimas de estos ataques.
Más información
- What is Quishing (QR Phishing)? https://www.checkpoint.com/es/cyber-hub/threat-prevention/what-is-phishing/what-is-quishing-qr-phishing/
- ¿Qué es el quishing? https://www.cloudflare.com/es-es/learning/security/what-is-quishing/
- QRishing’, el ‘phishing’ oculto en códigos QR https://www.bbva.com/es/innovacion/qrishing-el-phishing-oculto-en-codigos-qr/
- Nueva campaña de phishing utilizando códigos QR https://www.incibe.es/empresas/avisos/nueva-campana-de-phishing-utilizando-codigos-qr
- Estafas con el código QR: protege tu dinero y tus datos cuando escanees https://www.santander.com/es/stories/estafa-codigo-qr
- Quishing: Phishing de código QR https://www.malwarebytes.com/es/cybersecurity/basics/quishing
Ejemplos de casos de quishing
- She just wanted some tea, but a fake QR code offer cost her $20,000 https://www.cyberdaily.au/culture/9031-she-just-wanted-some-tea-but-a-fake-qr-code-offer-cost-her-20-000
- 5 Examples of Real-World QR Code Attacks https://www.linkedin.com/pulse/5-examples-real-world-qr-code-attacks-keepnetlabs-a7vee
- Estafadores colocaron falsos códigos QR en parquímetros para robar datos de pago https://www.welivesecurity.com/la-es/2022/01/20/estafadores-colocaron-falsos-codigos-qr-en-parquimetros-para-robar-datos-de-pago/
