En el mundo de la ciberseguridad, constantemente surgen nuevas tácticas de estafa. Una de las que ha ganado terreno recientemente es el QRishing, una técnica que combina los populares códigos QR con el phishing. Este tipo de fraude ha afectado a muchas personas que utilizan códigos en su día a día, ya que no siempre es fácil saber si el código que estamos escaneando es seguro.
Lo cierto es que, tras la pandemia, hemos empezado a utilizar códigos QR de manera masiva, desde el acceso al menú de un restaurante hasta el almacenamiento de información importante. Este aumento en el uso ha abierto la puerta a nuevas formas de ciberdelincuencia. Dado que un QR puede llevarnos a cualquier enlace, la amenaza está en que los delincuentes oculten detrás de uno de ellos enlaces maliciosos sin que lo sepamos.
¿Qué es el QRishing?
El QRishing es una técnica de estafa que deriva del ya conocido phishing. En este ataque, los delincuentes crean un código QR que, al ser escaneado, redirige a las víctimas a sitios web falsos diseñados para robar información personal o bancaria. Aunque a simple vista un QR pueda parecer inofensivo, oculto tras él puede haber un enlace peligroso, y ahí radica el gran riesgo.
La principal diferencia del QRishing respecto al phishing tradicional es que, en lugar de hacer clic en un enlace que aparece en un correo electrónico o mensaje de texto, el engaño se produce al escanear un código QR. En muchas ocasiones, estos códigos se sitúan en lugares públicos, como restaurantes, carteles o incluso en correos electrónicos. Para el usuario común, es muy difícil anticipar que puede estar interactuando con algo que le va a poner en peligro.
¿Cómo funciona un ataque de QRishing?
El procedimiento de este ataque es bastante simple pero efectivo. Los ciberdelincuentes crean un código QR que vinculan a una página web maliciosa. Luego, ese código se distribuye de diferentes maneras: puede aparecer en correos electrónicos, mensajes de texto, redes sociales o incluso en carteles físicos. Las víctimas, al escanear el código, son dirigidas a sitios web fraudulentos que buscan robar información confidencial como contraseñas, datos bancarios o incluso, infectar el dispositivo con malware.
Una variante del ataque es sustituir códigos QR en lugares públicos como restaurantes o tiendas, engañando a los usuarios que confían en ese medio para acceder a la carta o a promociones. Los QR falsos pueden incluso descargar aplicaciones maliciosas o suscribir a la víctima a servicios de pago sin su consentimiento.
Tipos de códigos QR y vulnerabilidades
Existen dos tipos de códigos QR: estáticos y dinámicos. Los estáticos no pueden ser modificados una vez creados, y aunque no son inmunes a los ataques, presentan menos riesgos que los dinámicos. Los dinámicos permiten editar los enlaces o el contenido vinculado al QR, lo que los convierte en una herramienta potencialmente peligrosa si caen en manos equivocadas.
En resumen, en un QR dinámico, un ciberdelincuente puede modificar el enlace original del código, redirigiendo al usuario a un sitio malicioso después de haberlo escaneado. Esto hace que sea fundamental estar atentos cuando se interactúa con códigos QR, especialmente en lugares públicos.
Consejos para evitar ser víctima de QRishing
Aunque escanear un código QR puede parecer un acto inofensivo, es recomendable tomar una serie de precauciones para evitar caer en este tipo de estafa:
- Verificar la URL a la que lleva el QR: Una vez que escanees un código, revisa siempre la dirección web. Si parece sospechosa o no reconoces el dominio, es mejor no continuar.
- Usar aplicaciones específicas para escanear códigos: Existen herramientas como antivirus que permiten escanear los códigos QR y comprobar si la URL es segura antes de abrirla.
- Evitar escanear códigos de fuentes desconocidas: No escanees códigos QR que te encuentres en lugares públicos si no tienes clara su procedencia. Es posible que estén manipulados.
- No proporcionar información personal o financiera: Ningún servicio legítimo te pedirá que ingreses datos sensibles después de haber escaneado un QR.
Qué hacer si eres víctima de un ataque de QRishing
Si ya has caído en un ataque de QRishing, lo primero que debes hacer es tratar de mitigar el daño. Si descargaste malware en tu dispositivo, es vital que uses un antivirus o software de seguridad para eliminar cualquier rastro de la amenaza. También puede ser recomendable que formatees el dispositivo si sospechas que el ataque ha comprometido su seguridad.
Si el ataque tuvo como objetivo obtener datos personales o financieros, como contraseñas o datos de tarjetas de crédito, cambia de inmediato las contraseñas y contacta con tu entidad bancaria para bloquear las tarjetas si es necesario. Los ciberdelincuentes pueden utilizar tus datos más adelante, incluso si el ataque no parece haberse concretado en ese momento.
Impacto de QRishing en los negocios
El QRishing no solo afecta a los usuarios, sino también a los negocios que son víctimas de este tipo de ataques. Los ciberdelincuentes pueden colocar códigos QR falsos en establecimientos como restaurantes, tiendas o cualquier negocio que los utilice. Esto conlleva un grave problema de reputación para la marca, ya que genera desconfianza en sus clientes.
Para evitar este tipo de situaciones, es fundamental que las empresas revisen regularmente sus códigos QR y aseguren que no han sido alterados. También es recomendable utilizar generadores de códigos QR que ofrezcan garantías de seguridad y que estos redirijan siempre a páginas seguras con el protocolo HTTPS.
Protecciones adicionales
Los negocios y personas pueden recurrir a ciertas prácticas para protegerse más eficazmente del QRishing y, en general, del phishing. Primero, utilizar protocolos de autenticación de emails como SPF, DKIM y DMARC que dificultan que los ciberdelincuentes suplantan identidades legítimas. Además, implementar el 2FA (autenticación en dos factores) añade una capa de protección adicional que hace más complicado el acceso no autorizado a cuentas personales o empresariales.
Otra recomendación para los negocios es evitar el uso de códigos QR en correos electrónicos, ya que es una vía frecuente para los ataques de phishing. También es importante educar a los empleados o clientes sobre los riesgos de escanear códigos de fuentes desconocidas y enseñarles a revisar siempre las URLs antes de interactuar con ellas.
Tecnologías antivirus contra el QRishing
En el caso de que el ataque logre infectar un dispositivo, los programas antivirus juegan un papel clave en la detección y bloqueo de archivos maliciosos. Estos softwares no solo identifican descargas sospechosas vinculadas a los códigos QR, sino que también pueden prevenir futuras infecciones al restringir ciertos procesos en el dispositivo comprometido.
Además, muchas de estas herramientas permiten realizar un análisis adelantado del enlace al que lleva el código, algo que puede ser muy útil para prever ataques antes de que sucedan. Invertir en un buen programa de seguridad es una medida preventiva esencial tanto para usuarios como para empresas.
A medida que los códigos QR se siguen integrando en nuestras vidas diarias, como consumidores y negocios, es vital que todos tomemos las medidas necesarias para protegernos frente a esta nueva amenaza.
- El QRishing combina códigos QR y phishing para recopilar datos de las víctimas.
- Es vital revisar la URL de los códigos QR antes de interactuar con ellos.
- Los negocios deben monitorear y proteger sus códigos QR ante posibles manipulaciones.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.