{"id":27346,"date":"2022-07-06T12:51:32","date_gmt":"2022-07-06T10:51:32","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27346"},"modified":"2022-07-06T12:51:32","modified_gmt":"2022-07-06T10:51:32","slug":"dhl-scam-with-qr-codes","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/dhl-scam-with-qr-codes\/27346\/","title":{"rendered":"“Hay un paquete para usted. Por favor, escanee el c\u00f3digo QR”"},"content":{"rendered":"

Las compras online<\/em> ya son parte de nuestra vida diaria: compramos ropa, alimentos y otros productos y los recibimos en la puerta de casa con tan solo hacer un par de clics. Los adictos a las compras online<\/em>, que ya son muchos, a veces pueden olvidarse de un paquete o perder una llamada del servicio de mensajer\u00eda. Como era de esperar, esto es algo que tambi\u00e9n explotan los atacantes, usando falsas notificaciones de entrega de paquetes como cebo.<\/p>\n

Un caso concreto que nos sirve como ejemplo de ello, son los ciberdelincuentes que se hacen pasar por el servicio internacional de mensajer\u00eda urgente DHL. Sin embargo, en lugar de utilizar un t\u00edpico enlace de phishing, <\/em>en este caso, este tipo de estafa se inicia con un c\u00f3digo QR que se encuentra en el correo electr\u00f3nico recibido. En este post desarrollaremos el c\u00f3mo y el porqu\u00e9 de este cambio.<\/p>\n

\u201cSu paquete est\u00e1 en la oficina de correos\u201d<\/h2>\n

El ataque comienza con un correo electr\u00f3nico, aparentemente de DHL. Aunque la direcci\u00f3n del remitente es un conjunto aleatorio de palabras que no se parecen al nombre del servicio de mensajer\u00eda, el cuerpo del mensaje es bastante convincente: el logotipo de la empresa, un n\u00famero de pedido (aunque falso) y la supuesta fecha de recepci\u00f3n de un paquete.<\/p>\n

El propio mensaje (que en este caso est\u00e1 en espa\u00f1ol) indica que ha llegado un pedido a una oficina de correos local, pero el mensajero no ha podido entregarlo personalmente. Por lo general, este cebo va acompa\u00f1ado de un enlace para \u201cresolver el problema\u201d, pero esta vez aparece un c\u00f3digo QR en su lugar.<\/p>\n

\"E-mail<\/strong><\/p>\n

\u00a0<\/p>\n

Un c\u00f3digo QR es algo bastante vers\u00e1til. Se puede utilizar, por ejemplo, para conectarse a una red wifi, pagar una compra o confirmar la compra de una entrada de cine o de un concierto. Pero quiz\u00e1s su uso m\u00e1s com\u00fan sea para distribuir enlaces offline<\/em> como una forma r\u00e1pida de llevar al usuario a una direcci\u00f3n web concreta, escaneando un cuadrado en blanco y negro que puede aparecer en el envase de un producto, en carteles publicitarios, en tarjetas de presentaci\u00f3n o en cualquier otro lugar.<\/p>\n

\u00a0<\/p>\n

En este caso, los atacantes no estaban pensando en la comodidad del usuario, desde luego. La idea parece ser que, si la v\u00edctima abre en un primer momento el correo electr\u00f3nico en un ordenador, despu\u00e9s necesitar\u00e1 un smartphone para leer el c\u00f3digo QR, lo que significa que la web maliciosa se abrir\u00e1 en una peque\u00f1a pantalla de m\u00f3vil en la que el phishing <\/em>es m\u00e1s dif\u00edcil de detectar. Debido a las limitaciones de espacio en los navegadores m\u00f3viles, las URL no son completamente visibles. Y en Safari, la barra de direcciones se movi\u00f3 recientemente a la parte inferior de la pantalla, donde muchos usuarios no miran. Esto juega totalmente en favor de los ciberdelincuentes, porque la URL de su web falsa no se parece en nada a la oficial en la que ni siquiera aparece la palabra DHL.<\/p>\n

El texto de la p\u00e1gina web tambi\u00e9n se ve en peque\u00f1o, por lo que los errores de dise\u00f1o se aprecian menos. De todas formas, no hay muchos de ellos: la p\u00e1gina da la bienvenida a los usuarios con los colores de la marca registrada: el amarillo y el rojo, el nombre de la empresa se muestra a continuaci\u00f3n y el texto pr\u00e1cticamente no tiene errores, excepto por un par de letras min\u00fasculas al comienzo de las oraciones.<\/p>\n

Se informa a la v\u00edctima que el paquete llegar\u00e1 en 1 o 2 d\u00edas. Para recibirlo, se le solicita que ingrese su nombre, apellido y direcci\u00f3n con c\u00f3digo postal. De hecho, el servicio de entrega solicita este tipo de informaci\u00f3n, por lo que esto no despierta sospechas.<\/p>\n

\u00a0<\/strong><\/p>\n

\"La
\n<\/strong><\/p>\n

Pero la recopilaci\u00f3n de datos no termina ah\u00ed. En la p\u00e1gina siguiente, se le pide a la v\u00edctima que facilite informaci\u00f3n m\u00e1s confidencial: los datos de la tarjeta bancaria, incluido el c\u00f3digo CVV que aparece en el reverso, supuestamente para pagar la entrega. Los atacantes no especifican una cantidad, solo mencionan que el coste depende de la regi\u00f3n y aseguran que no se cobrar\u00e1 el importe hasta que llegue el paquete. De hecho, la aut\u00e9ntica empresa DHL s\u00ed exige por adelantado el pago de la entrega cuando se realiza el pedido y, si un cliente no se encuentra en el lugar de destino del paquete, el servicio de mensajer\u00eda realiza otro intento de entrega de forma gratuita.<\/p>\n

\u00bfQu\u00e9 hacen los delincuentes con tus datos de pago?<\/h2>\n

No es muy probable que los delincuentes comiencen a realizar cargos en la tarjeta de la v\u00edctima inmediatamente, ya que esta podr\u00eda vincular estos cargos al correo electr\u00f3nico del \u201cDHL\u201d falso. Lo m\u00e1s probable es que vendan los datos de pago en la dark web<\/em> y ser\u00e1 el que compre estos datos quien luego desv\u00ede los fondos, cuando la v\u00edctima ya se haya olvidado del paquete inexistente.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

En este caso se aplican las mismas reglas habituales para la protecci\u00f3n contra el ciberfraude:<\/p>\n