Códigos QR y quishing: la nueva estafa de la que debes cuidarte

CIUDAD DE MÉXICO, México.- En un mundo cada vez más digital, los códigos QR han simplificado nuestra vida cotidiana, pero también han abierto la puerta a nuevas formas de fraude. Una de las estafas que más alarma ha generado últimamente es el quishing, un tipo de ataque que usa códigos QR falsificados para acceder a datos sensibles de los usuarios, según advierten importantes instituciones financieras y de ciberseguridad.

Ver nota:
¿De qué se trata el fraude diamante?

¿Por qué los bancos están alertando sobre 'quishing'?

HSBC, Santander y TSB se encuentran entre los bancos que han levantado la voz de alerta ante el auge de estos engaños. Junto al Centro Nacional de Seguridad Cibernética de Reino Unido y la Comisión Federal de Comercio (FTC) de EE. UU., han identificado que los cibercriminales están aprovechando los códigos QR como un método para esquivar las barreras de seguridad y engañar a las víctimas.

¿Cómo los códigos QR evaden la seguridad?

El quishing funciona a través del envío de códigos QR falsos, generalmente incluidos en archivos PDF adjuntos en correos electrónicos. Estos mensajes logran eludir los filtros de seguridad corporativa que suelen marcar enlaces sospechosos en correos, pero no detectan el contenido dentro de las imágenes adjuntas, explican expertos en seguridad.

Chester Wisniewski, asesor sénior en seguridad de Sophos, señala que este método es particularmente atractivo para los atacantes ya que los usuarios no suelen cuestionar el contenido de un archivo PDF adjunto. Además, es común que los destinatarios escaneen los códigos QR sin verificar su autenticidad, confiando en que se trata de un enlace seguro.

¿Cuál es el costo del quishing en 2024?

El auge de este tipo de fraude hace que sea complejo estimar el costo total que representa, ya que los ataques pueden ser parte de esquemas más amplios. Según datos de IBM, las infracciones de datos a nivel global, relacionadas en parte con ataques de phishing, tienen un costo promedio que podría alcanzar los 4.9 millones de dólares en 2024, impactando a empresas de todos los sectores.

¿Por qué son tan usados los códigos QR?

Los códigos QR fueron inventados en 1994 por Denso Wave, una subsidiaria de Toyota, como una herramienta para el rastreo en fábricas de automóviles. Actualmente, son utilizados en todos los ámbitos, desde menús en restaurantes hasta aplicaciones bancarias. Sin embargo, esta versatilidad es lo que los convierte en un blanco fácil para los delincuentes que se aprovechan de la limitada visibilidad que ofrecen.

Ver nota:
Fraudes Banco Bienestar ¿Cuáles son y de que trata?

El riesgo se incrementa porque, al escanear un código QR, los dispositivos muestran solo una breve vista previa de la URL a la que dirigen. Según Amir Sadon, director de investigación en la consultora de ciberseguridad Sygnia, esta vista previa resulta insuficiente para alertar a los usuarios sobre enlaces maliciosos.

¿Cómo la pandemia impulsó las estafas QR?

Las estafas de quishing han experimentado un auge desde la pandemia, cuando el uso de códigos QR se generalizó como medida de precaución sanitaria. Esta popularización ha llevado a que cada vez más usuarios caigan en engaños que se presentan en correos, en calcomanías fraudulentas sobre códigos legítimos, o en anuncios en estaciones de tren y puntos de carga para autos eléctricos.

Una encuesta realizada en mayo por la empresa de seguridad McAfee reveló que el 20% de las estafas en línea en Reino Unido se originaron en códigos QR. Además, Action Fraud, organización que supervisa el fraude en Reino Unido, reportó un incremento del doble en las estafas con códigos QR sólo en el último año.

Un ejemplo que ha encendido las alarmas en EE. UU. y Reino Unido es la falsificación de códigos QR en estacionamientos. Los delincuentes colocan calcomanías falsas sobre los códigos originales, redirigiendo a sitios fraudulentos. Los conductores ingresan sus datos bancarios pensando que están pagando, pero en realidad están entregando su información a ciberdelincuentes, lo que puede acarrear incluso multas por no pagar el estacionamiento.

Para enfrentar esta amenaza, los proveedores de seguridad están considerando métodos para adaptar sus sistemas y analizar imágenes dentro de los archivos adjuntos en correos. Sin embargo, Wisniewski advierte que revisar los archivos adjuntos podría ralentizar la entrega de correos y aumentar los costos operativos de las empresas.

¿Cómo opera el quishing? Los pasos clave del fraude con códigos QR

• Creación de códigos QR maliciosos: Los estafadores diseñan códigos QR falsos que redirigen a sitios web fraudulentos.
• Seleccionan los lugares ideales para distribución: Una vez creados los códigos QR falsos, los atacantes los colocan en sitios estratégicos.
• Aprovechando la confianza del usuario: La clave del quishing radica en la confianza que el usuario deposita en el código QR.
• Solicitudes de información personal crítica: Estos sitios fraudulentos piden detalles como nombres de usuario, contraseñas o información de tarjetas de crédito.
• Captura y almacenamiento de los datos: En cuanto los usuarios ingresan su información, esta es capturada en tiempo real por los ciberdelincuentes.
• Uso de la información para fraude financiero: Con la información capturada, los atacantes pueden realizar fraudes financieros.
• Riesgo de robo de identidad: Los datos capturados permiten a los delincuentes suplantar la identidad de las víctimas.
• Mercado negro de datos robados: La información obtenida no es usada de inmediato, sino que se vende en el mercado negro.
• Dificultad para rastrear el origen del fraude: Dado que los códigos QR pueden distribuirse en varios formatos y lugares, es complicado rastrear su origen.
• Prevención como la mejor defensa: Los expertos recomiendan verificar siempre la autenticidad del código QR antes de escanearlo, preferir fuentes confiables y evitar ingresar datos sensibles.

Cómo evitar caer en fraudes de quishing: recomendaciones clave

• Verifica el origen del código QR: Antes de escanear un código, asegúrate de que provenga de una fuente confiable. Es mejor evitar aquellos que encuentres en lugares públicos o no verificados, donde es más probable que sean manipulados.
• Usa aplicaciones de seguridad para escaneo: Considera instalar apps de seguridad que analicen códigos QR y muestren la URL antes de abrirla. Esto ayuda a revisar si el sitio parece seguro, proporcionando una capa extra de protección.
• Infórmate sobre riesgos y amenazas: Mantente al día con las novedades en ciberseguridad y comparte esta información con amigos y familiares. La educación y conciencia sobre quishing pueden reducir la probabilidad de caer en fraudes.
• Comprueba siempre las URLs: Al ser redirigido a un sitio web desde un código QR, verifica que la URL sea la correcta. Fíjate en posibles errores ortográficos o nombres de dominio inusuales que puedan indicar un sitio falso.
• Cuidado con los datos personales: Evita ingresar datos sensibles en sitios a los que llegues a través de un código QR, a menos que estés seguro de su autenticidad.

Ver nota:
Volaris y Viva Aerobus hacen unión histórica contra el fraude en línea | VIDEO

La recomendación para los usuarios es ser extremadamente cautelosos antes de escanear un código QR, especialmente en entornos no regulados. Por su parte, los expertos subrayan la importancia de que tanto individuos como empresas se mantengan informados sobre las tácticas de fraude digital en constante evolución, lo cual es clave para reducir los riesgos en la era digital.