
En una era de códigos QR, los ciberdelincuentes emplean un esquema llamado 'quishing' para engañar a las personas y dirigirlas a sitios web maliciosos. Siga leyendo para obtener más información sobre este engaño, las diversas formas de phishing con códigos QR y cómo protegerse de dichos ataques.
¿Qué es Quishing?
Quishing es un tipo de ciberataque que implica el uso de códigos QR para engañar a las personas para que visiten sitios web maliciosos o revelen información confidencial. Este ataque aprovecha la confianza y la comodidad asociadas con los códigos QR para engañar a las víctimas. Quishing también se puede conocer como phishing de código QR, suplantación de código QR o QRishing.
¿Cómo funcionan los ataques de phishing con códigos QR?
Un ataque típico de phishing de código QR o quishing tiene cinco etapas clave:
- Distribución : los atacantes crean códigos QR fraudulentos y los distribuyen a través de diversos medios, como imprimirlos en folletos, carteles o etiquetas, o compartirlos digitalmente a través de correos electrónicos, SMS o redes sociales.
- Engaño : Los códigos QR fraudulentos generalmente están diseñados para parecer legítimos y pueden prometer ofertas, descuentos o servicios atractivos para atraer a posibles víctimas.
- Escaneo : las víctimas encuentran el código QR y usan sus dispositivos móviles, equipados con aplicaciones de lectura de códigos QR, para escanearlo.
- Redirección : Al escanear el código QR, el dispositivo de la víctima es dirigido a un sitio web malicioso que está bajo el control de los atacantes. Este sitio web generalmente imita un sitio confiable o conocido.
- Robo de datos : el sitio web falso puede solicitar a la víctima que introduzca información confidencial, como credenciales de inicio de sesión, datos personales o información financiera, haciéndose pasar por una fuente legítima que solicita la información proporcionada.
Tipos de ataques de quishing
Los ataques de phishing QR o QRishing pueden tomar varias formas, y los atacantes utilizan diferentes tácticas para engañar a las víctimas. Estos son algunos ejemplos:
- Descuentos en productos falsos : los atacantes distribuyen códigos QR que prometen importantes descuentos en productos o servicios populares. Cuando se escanea, el código QR redirige a los usuarios a un sitio web falso donde se les solicita que proporcionen información personal y detalles de pago. El descuento prometido nunca se materializa.
- Entradas falsas para eventos : los estafadores crean códigos QR para eventos que no existen o entradas que no poseen. Las víctimas desprevenidas escanean el código, creyendo que están comprando boletos, solo para perder dinero y que les roben sus datos personales.
- Estafas de ofertas de trabajo : los atacantes pueden enviar ofertas de trabajo falsas por correo electrónico o redes sociales con un código QR para la solicitud de trabajo. Cuando se escanea, el código lleva al usuario a una página de phishing que solicita información personal y financiera.
- Estafas bancarias y financieras : los atacantes pueden enviar códigos QR que parecen ser del banco de un usuario y afirman que tienen un enlace a información importante de la cuenta. El escaneo del código redirige al usuario a un sitio web bancario falso diseñado para robar credenciales de inicio de sesión e información financiera.
- Estafas de criptomonedas: los estafadores crean códigos QR engañosos y los distribuyen a través de varios canales, como correos electrónicos, redes sociales o incluso pegatinas físicas. Las víctimas desprevenidas escanean estos códigos, creyendo que están iniciando transacciones legítimas en criptomonedas , pero en realidad, terminan enviando sus fondos a la billetera del estafador.
- Estafas de donaciones caritativas : los estafadores distribuyen códigos QR que afirman ser para donaciones caritativas. Cuando se escanea, el código lleva a los usuarios a una página de donación fraudulenta que captura sus detalles de pago.
- Estafas de entrega de paquetes : los estafadores envían códigos QR en correos electrónicos o mensajes de texto que afirman ser información de seguimiento para la entrega de un paquete. Cuando el destinatario analiza el código, lo redirige a un sitio web falso que busca información personal o envía malware .
- Estafas de COVID-19 : durante la pandemia de COVID-19, los estafadores utilizaron códigos QR en ataques de phishing. Enviaron códigos QR en correos electrónicos o mensajes, afirmando tener enlaces a información sobre las vacunas COVID-19 o las pautas de seguridad. El escaneo del código QR condujo a sitios web fraudulentos que buscaban información personal o propagaban malware.
- Estafas de restaurantes y menús : después de que aumentara el uso de códigos QR durante y después de la pandemia de COVID-19, los atacantes distribuyeron códigos QR en menús falsos de restaurantes. Cuando se analizan, estos códigos se redirigen a sitios web maliciosos que intentan instalar malware o robar información personal.
Estos son solo algunos ejemplos de ataques de phishing en QR. Los códigos QR son herramientas convenientes, pero los ciberdelincuentes pueden explotarlos para engañar a las personas para que revelen información confidencial o sean víctimas de varias estafas. Es fundamental tener cuidado al escanear códigos QR, especialmente los recibidos de fuentes no verificadas o no solicitadas, y verificar su legitimidad antes de realizar cualquier acción.
Ejemplos del mundo real de estafas de quishing
El ataque chino quishing tuvo como objetivo cuentas bancarias
En 2022, surgió una campaña de phishing de QR en China, donde los estafadores se hicieron pasar por el Ministerio de Finanzas chino . Enviaron correos electrónicos engañosos, lo que indujo a los usuarios a creer que podían solicitar una nueva subvención del gobierno. La artimaña consistía en pedir a los usuarios que escaneen un código QR incrustado en un documento adjunto mediante una aplicación de mensajería y pago móvil como WeChat. Los piratas informáticos a menudo optan por códigos QR porque son difíciles de detectar mediante medidas técnicas de seguridad. Además, los dispositivos móviles, que se utilizan normalmente para tales acciones, pueden ser menos seguros que los ordenadores. Una vez que se escaneó el código, se dirigió a los usuarios a una página web donde se les solicitó que proporcionaran información detallada sobre sus tarjetas de crédito y cuentas bancarias.
Quioscos de pago para estacionar y estafas de boletos de estacionamiento en los EE. UU.
En un caso de Texas , los ciberdelincuentes colocaron calcomanías de códigos QR falsos en los quioscos de pago para estacionar, lo que llevó a los conductores a creer que podían usarlos para pagar el estacionamiento. Al escanear estos códigos, los conductores fueron dirigidos a un sitio web fraudulento donde ingresaron la información de su tarjeta de crédito, y sin darse cuenta revelaron sus datos confidenciales a los piratas informáticos. Un incidente similar ocurrió en febrero de 2022 en Atlanta cuando los conductores descubrieron multas de estacionamiento falsas con códigos QR en sus vehículos, supuestamente para el pago de una multa. Después de que se descubrió el problema, las autoridades locales advirtieron que Atlanta no emplea códigos QR en sus multas de estacionamiento.
¿Qué es QRLJacking?
Un concepto relacionado con el quishing es el de QRLJacking. El inicio de sesión de respuesta rápida (QRL) es un método de autenticación que utiliza códigos QR para iniciar sesión en sitios web, aplicaciones o servicios digitales. Los usuarios escanean el código QR en la pantalla de inicio de sesión con su teléfono inteligente, ya sea otorgando acceso directo o iniciando la autenticación secundaria para configuraciones de múltiples factores.
Sin embargo, los piratas informáticos pueden explotar QRL de la siguiente manera:
- Comienzan una sesión QR del lado del cliente en el sitio web o la aplicación de destino.
- Clonan el código QR legítimo y lo redirigen a su servidor.
- Incrustan este QR manipulado en una página de inicio de sesión falsa que se parece a la original.
- El enlace de la página de inicio de sesión falsa se distribuye por correo electrónico u otros canales, lo que solicita a los usuarios hacer clic y escanear el código QR.
- Si la autenticación multifactor no está activa, el escaneo del código QR otorga acceso al atacante.
Signos de ataques de quishing: a qué prestar atención
El phishing de QR a menudo omite los detectores de malware y los filtros de correo electrónico porque oculta los códigos QR en los correos electrónicos o documentos adjuntos con extensiones no sospechosas. Esta oscuridad, combinada con la manipulación emocional o la ingeniería social , incita a las víctimas a escanear códigos QR maliciosos con fines fraudulentos. Tenga cuidado con estos signos de phishing de QR:
- Fuentes inusuales: tenga cuidado si recibe códigos QR de fuentes inesperadas o no solicitadas, especialmente en correos electrónicos o mensajes de remitentes desconocidos.
- Dominio no coincidente: compruebe si el código QR redirige a un dominio o sitio web diferente al que dice representar. Esto puede ser un signo de phishing.
- Gramática y ortografía: la mala gramática y la ortografía de los mensajes o las instrucciones que lo acompañan pueden indicar un intento de phishing.
- Solicitudes urgentes: tenga cuidado con los códigos QR que vienen con solicitudes urgentes de acción inmediata, como amenazas o promesas de recompensas.
- Múltiples pasos de autenticación: los inicios de sesión con códigos QR auténticos generalmente implican análisis únicos. Si se le solicita información adicional o pasos, podría ser un intento de phishing.
- Información demasiado personal: las solicitudes de información muy personal, como números de la seguridad social o detalles financieros extensos, pueden ser señales de alerta.
- Permisos inusuales: cuando se le solicite conceder amplios permisos a una aplicación móvil después de escanear un código QR, tenga cuidado e investigue más.
Las tácticas de phishing QR varían, por lo que la vigilancia y la precaución son esenciales para evitar ser víctima de estas estafas.
Cómo protegerse del quishing
Para protegerse de los ataques de phishing de QR, siga estas pautas:
- Verificación de la fuente: verifique siempre la fuente de un código QR antes de escanear, especialmente si es de un remitente desconocido.
- Sea escéptico con los códigos QR no solicitados : tenga cuidado al encontrar códigos QR no solicitados en correos electrónicos, mensajes de texto o materiales físicos.
- Compruebe si hay errores ortográficos y gramaticales: Examine los materiales promocionales en busca de errores ortográficos y gramaticales, que son comunes en las comunicaciones fraudulentas.
- Examine la URL de destino: antes de analizar, asegúrese de que la URL de destino coincida con la fuente esperada y parezca legítima, sin elementos sospechosos o mal escritos.
- Inspeccione la página de destino: después de escanear, examine detenidamente el contenido y el diseño de la página de destino. Es más probable que las páginas legítimas parezcan profesionales y sin errores.
- Tenga cuidado con las solicitudes de información inmediatas: tenga cuidado si la página de destino solicita inmediatamente información confidencial como credenciales de inicio de sesión o detalles de pago. Los servicios legítimos generalmente no solicitan esto por adelantado.
- Verificar ofertas especiales o descuentos: Verifique de forma independiente las ofertas prometidas por códigos QR con la web oficial o la propia empresa. Si algo parece sospechoso o demasiado bueno para ser verdad, confíe en sus instintos y evite escanear el código QR.
- Busque HTTPS: compruebe una conexión segura (HTTPS) en el sitio web redirigido. La S significa "seguro" e indica que el sitio web tiene un certificado de seguridad actualizado.
- Use la autenticación de dos factores (FA): active FA para sus cuentas en línea para agregar una capa adicional de seguridad en caso de que sus credenciales se vean comprometidas.
- Informe de actividad sospechosa: informe sobre sospechas de ataques de phishing mediante QR a las autoridades pertinentes, al departamento de TI de su organización o a su proveedor de servicios de correo electrónico.
- Edúquese a sí mismo y a los demás: manténgase actualizado sobre las noticias y las amenazas de seguridad cibernética para reconocer los riesgos potenciales. Comparta conocimientos sobre phishing QR y otras amenazas en línea con amigos y familiares para mejorar de manera colectiva la seguridad en línea.
- Manténgase actualizado: asegúrese de que el sistema operativo y las aplicaciones de su dispositivo móvil se actualicen regularmente con los últimos parches de seguridad para reducir el riesgo de ser víctima de tales ataques.
- Instale software de seguridad: proteja sus dispositivos con software de seguridad actualizado como Kaspersky Premium , que bloquea los sitios web maliciosos y los defiende contra una variedad de amenazas en línea. Kaspersky Premium viene con VPN ilimitada para mayor privacidad para proteger su conexión a Internet, y el Administrador de contraseñas para generar y almacenar contraseñas únicas y seguras.
Si sigue estos consejos y se mantiene alerta, puede reducir significativamente el riesgo de ser víctima de ataques de phishing de QR y otras estafas en línea. Priorizar la seguridad en línea es fundamental en el mundo digital actual, donde el uso de códigos QR está muy extendido.
Preguntas frecuentes sobre ataques de phishing de código QR y quishing
¿Qué es quishing?
Quishing implica a los ciberdelincuentes que utilizan códigos QR para llevar a las personas a sitios web falsos, atraerlos para que proporcionen información personal o financiera, o engañarlos para que descarguen contenido malicioso. Quishing también se puede conocer como phishing de código QR, suplantación de código QR o QRishing.
Productos relacionados:
- Software antivirus de Kaspersky Premium
- Kaspersky Premium Antivirus: descargue la versión de prueba gratuita durante 30 días
- Kaspersky VPN Secure Connection
- Administrador de contraseñas
Artículos relacionados: