Una nueva amenaza está ganando terreno en el mundo digital, no hablamos sino del quishing. Esta estafa combina la ingeniería social del phishing con el uso del QR, ya sea ocultando mediante acortadores la url destino o modificando el código del mismo. Vamos a echarle un vistazo en detalle a esta nueva modalidad.

ilustración de un móvil negro con un qr dorado en pantalla. Quishing

¿Qué es el Quishing?

El quishing, o “QR phishing”, es una técnica fraudulenta donde los atacantes distribuyen códigos QR que, al ser escaneados, dirigen a sitios web falsos diseñados para robar información personal y financiera. A diferencia del phishing tradicional, que suele utilizar enlaces en correos electrónicos, el quishing explota la creciente confianza en los códigos QR, que son utilizados ampliamente en restaurantes, campañas publicitarias, y accesos rápidos a sitios web.

Cómo Funciona

1. Creación del Código QR: Los estafadores generan un código QR que apunta a un sitio web malicioso. Estos sitios pueden parecer legítimos a primera vista, imitando el diseño y la estructura de páginas oficiales.

2. Distribución: Estos códigos QR pueden ser distribuidos de varias maneras:
– Correos Electrónicos y Mensajes: Similar al phishing tradicional, pueden enviarse como parte de un mensaje que parece ser de una fuente confiable, ya bien sea oculto en una petición de checkeo del MFA (Autenticación multifactor: se podría incluir un subenlace incrustado en esto en el que se explique y recomiende el uso de aplicaciuones de autenticacion para mejorar la seguridad)
– Carteles Físicos y Flyers: En lugares públicos, como centros comerciales o estaciones de transporte, los códigos QR maliciosos pueden ser colocados estratégicamente.
– Sitios Web y Redes Sociales: Publicados en sitios web comprometidos o en publicaciones de redes sociales.

3. Engaño: La víctima, al escanear el código QR con su smartphone, es redirigida a la página web falsa. Una vez allí, puede ser inducida a introducir información sensible, como credenciales de inicio de sesión, detalles de tarjetas de crédito, o información personal

Cómo Protegerse

Para protegerte de caer en las trampas del quishing, sigue estas recomendaciones:

– Verifica la Fuente: Antes de escanear un código QR, asegúrate de que proviene de una fuente confiable. Si lo encuentras en un lugar público o recibido de manera no solicitada, cuestiona su autenticidad.
– Usa Aplicaciones de Escaneo Seguras: Algunas aplicaciones de escaneo de códigos QR ofrecen funcionalidades adicionales de seguridad que pueden alertarte sobre URLs sospechosas o directamente bloquear sitios potencialmente peligrosos.
– Comprueba la URL: Después de escanear un código QR, verifica la dirección web a la que se te redirige antes de ingresar cualquier información. Las URL maliciosas pueden parecer legítimas, pero a menudo tienen pequeñas diferencias que pueden delatarlas.
– Mantén tu Dispositivo Actualizado: Asegúrate de tener la última versión de tu sistema operativo y las aplicaciones de seguridad actualizadas. Las actualizaciones suelen incluir mejoras de seguridad que pueden protegerte contra nuevas amenazas.
– No Proporciones Información Sensible: Si un sitio web al que llegas tras escanear un código QR te pide información personal o financiera, detente y revisa la autenticidad del sitio antes de proceder.

La creciente adopción de los códigos QR ha hecho que los ciberdelincuentes se adapten y encuentren nuevas formas de explotar esta tecnología. Al mantenernos informados y aplicar buenas prácticas de seguridad, podemos reducir significativamente el riesgo de ser víctimas de quishing. Tus datos son tu mayor tesoro, evita que los ciberdelicuentes accedan a ellos; mantente alerta y protégelos siguiendo estas recomendaciones.

Si quieres que te ayudemos con cualquier necesidad relacionada con nuestros servicios de IT y marketing en tu empresa, no dudes en contactar con nosotros. 
Estaremos encantados de ayudarte, mientras tanto, puedes consultar alguno de nuestros últimos trabajos aquí.