Síguenos

Códigos QR y quishing: la nueva estafa de la que debes cuidarte

El 'quishing' surge como un método innovador de ciberataque en el que, a través de códigos QR maliciosos, los delincuentes cibernéticos logran obtener datos sensibles de las personas.

Por: Reynol González

CIUDAD DE MÉXICO, México.- En un mundo cada vez más digital, los códigos QR han simplificado nuestra vida cotidiana, pero también han abierto la puerta a nuevas formas de fraude. Una de las estafas que más alarma ha generado últimamente es el quishing, un tipo de ataque que usa códigos QR falsificados para acceder a datos sensibles de los usuarios, según advierten importantes instituciones financieras y de ciberseguridad.

Ver nota:
¿De qué se trata el fraude diamante?

¿Por qué los bancos están alertando sobre 'quishing'?

HSBC, Santander y TSB se encuentran entre los bancos que han levantado la voz de alerta ante el auge de estos engaños. Junto al Centro Nacional de Seguridad Cibernética de Reino Unido y la Comisión Federal de Comercio (FTC) de EE. UU., han identificado que los cibercriminales están aprovechando los códigos QR como un método para esquivar las barreras de seguridad y engañar a las víctimas.


¿Cómo los códigos QR evaden la seguridad?

El quishing funciona a través del envío de códigos QR falsos, generalmente incluidos en archivos PDF adjuntos en correos electrónicos. Estos mensajes logran eludir los filtros de seguridad corporativa que suelen marcar enlaces sospechosos en correos, pero no detectan el contenido dentro de las imágenes adjuntas, explican expertos en seguridad.

Chester Wisniewski, asesor sénior en seguridad de Sophos, señala que este método es particularmente atractivo para los atacantes ya que los usuarios no suelen cuestionar el contenido de un archivo PDF adjunto. Además, es común que los destinatarios escaneen los códigos QR sin verificar su autenticidad, confiando en que se trata de un enlace seguro.

¿Cuál es el costo del quishing en 2024?

El auge de este tipo de fraude hace que sea complejo estimar el costo total que representa, ya que los ataques pueden ser parte de esquemas más amplios. Según datos de IBM, las infracciones de datos a nivel global, relacionadas en parte con ataques de phishing, tienen un costo promedio que podría alcanzar los 4.9 millones de dólares en 2024, impactando a empresas de todos los sectores.


¿Por qué son tan usados los códigos QR?

Los códigos QR fueron inventados en 1994 por Denso Wave, una subsidiaria de Toyotacomo una herramienta para el rastreo en fábricas de automóviles. Actualmente, son utilizados en todos los ámbitos, desde menús en restaurantes hasta aplicaciones bancarias. Sin embargo, esta versatilidad es lo que los convierte en un blanco fácil para los delincuentes que se aprovechan de la limitada visibilidad que ofrecen.

Ver nota:
Fraudes Banco Bienestar ¿Cuáles son y de que trata?

El riesgo se incrementa porque, al escanear un código QR, los dispositivos muestran solo una breve vista previa de la URL a la que dirigen. Según Amir Sadon, director de investigación en la consultora de ciberseguridad Sygnia, esta vista previa resulta insuficiente para alertar a los usuarios sobre enlaces maliciosos.

¿Cómo la pandemia impulsó las estafas QR?

Las estafas de quishing han experimentado un auge desde la pandemia, cuando el uso de códigos QR se generalizó como medida de precaución sanitaria. Esta popularización ha llevado a que cada vez más usuarios caigan en engaños que se presentan en correos, en calcomanías fraudulentas sobre códigos legítimos, o en anuncios en estaciones de tren y puntos de carga para autos eléctricos.


Una encuesta realizada en mayo por la empresa de seguridad McAfee reveló que el 20% de las estafas en línea en Reino Unido se originaron en códigos QR. Además, Action Fraud, organización que supervisa el fraude en Reino Unido, reportó un incremento del doble en las estafas con códigos QR sólo en el último año.

Un ejemplo que ha encendido las alarmas en EE. UU. y Reino Unido es la falsificación de códigos QR en estacionamientos. Los delincuentes colocan calcomanías falsas sobre los códigos originales, redirigiendo a sitios fraudulentos. Los conductores ingresan sus datos bancarios pensando que están pagando, pero en realidad están entregando su información a ciberdelincuentes, lo que puede acarrear incluso multas por no pagar el estacionamiento.

Para enfrentar esta amenaza, los proveedores de seguridad están considerando métodos para adaptar sus sistemas y analizar imágenes dentro de los archivos adjuntos en correos. Sin embargo, Wisniewski advierte que revisar los archivos adjuntos podría ralentizar la entrega de correos y aumentar los costos operativos de las empresas.


¿Cómo opera el quishing? Los pasos clave del fraude con códigos QR

Cómo evitar caer en fraudes de quishing: recomendaciones clave

Ver nota:
Volaris y Viva Aerobus hacen unión histórica contra el fraude en línea | VIDEO

La recomendación para los usuarios es ser extremadamente cautelosos antes de escanear un código QR, especialmente en entornos no regulados. Por su parte, los expertos subrayan la importancia de que tanto individuos como empresas se mantengan informados sobre las tácticas de fraude digital en constante evolución, lo cual es clave para reducir los riesgos en la era digital.