El avance de la tecnología no solo ha facilitado nuestras vidas, sino que también ha abierto nuevas puertas para el cibercrimen. Una de las técnicas de phishing que ha ganado popularidad en los últimos años es el quishing, una modalidad de estafa en la que los códigos QR son la herramienta principal para engañar a los usuarios y robarles información confidencial.
¿Qué es el Quishing?
El término quishing proviene de la combinación de "QR" y "phishing". Es un tipo de ataque de phishing que utiliza códigos QR para redirigir a las víctimas a sitios web maliciosos o incitarlas a proporcionar datos personales. A diferencia del phishing tradicional, que suele emplear enlaces maliciosos en correos electrónicos o mensajes SMS, el quishing se aprovecha de la confianza de las personas en los códigos QR, que se han convertido en herramientas comunes en diversos contextos, desde menús en restaurantes hasta pagos en línea y promociones de productos.
Cómo funciona el Quishing
Para ejecutar un ataque de quishing, los ciberdelincuentes crean códigos QR falsos y los distribuyen en distintas plataformas y lugares, como:
- Redes sociales y sitios web de poca fiabilidad.
- Correos electrónicos que aparentan ser de empresas legítimas.
- Publicidad en carteles o folletos físicos.
- Calcomanías o etiquetas pegadas en lugares públicos.
El usuario escanea el código QR con la esperanza de recibir un beneficio o acceder a información útil, pero es redirigido a un sitio web controlado por los atacantes. Este sitio puede solicitar información sensible, como credenciales bancarias, datos de inicio de sesión o detalles personales. En otros casos, el código QR puede activar la descarga de malware en el dispositivo, lo que expone al usuario a un mayor riesgo de ciberataques. ESET, compañía dedicada a la ciberseguridad, alertó sobre qué es quishing, cómo funciona, por qué puede ser tan peligroso, y de qué manera es posible protegerse.
Publicidad
Riesgos y peligros del quishing
El quishing puede ser particularmente efectivo debido a que muchos usuarios no verifican la autenticidad de los códigos QR antes de escanearlos. Entre los principales riesgos asociados al quishing se encuentran:
- Robo de Información personal: los atacantes pueden crear páginas falsas que imiten sitios confiables (como bancos o redes sociales) y solicitar datos confidenciales. Al ingresar esta información, el usuario la entrega directamente al ciberdelincuente.
- Infección con Malware: algunos códigos QR maliciosos pueden ejecutar la descarga de malware en el dispositivo, lo que permite a los atacantes tener acceso remoto al mismo, monitorear la actividad del usuario o incluso secuestrar su información.
- Suplantación de Identidad: con los datos robados, los ciberdelincuentes pueden realizar fraudes financieros o robar cuentas personales, afectando la privacidad y la seguridad financiera del usuario.
- Ataques de ingeniería social: muchos ataques de quishing apelan al sentido de urgencia o a promesas de recompensas. Mensajes que simulan ser de empresas reconocidas o notificaciones de "suspensión de cuentas" son tácticas comunes para incitar a los usuarios a escanear rápidamente sin sospechar.
Cómo protegerse del quishing
Afortunadamente, existen medidas preventivas que pueden reducir el riesgo de caer en este tipo de estafas. Aquí algunas recomendaciones clave de ESET:
Publicidad
Verificar la fuente del código QR
Antes de escanear cualquier código QR, asegúrese de que proviene de una fuente confiable. Si el código aparece en un correo electrónico o mensaje inesperado, desconfíe de su legitimidad. Los códigos QR en lugares públicos, especialmente si no tienen una clara fuente de procedencia, también deben ser evitados.Utilizar aplicaciones de previsualización de URLs
Algunas aplicaciones permiten previsualizar la URL a la que apunta un código QR antes de abrirla. Esto puede ayudarle a identificar si el enlace parece sospechoso o no coincide con la fuente que aparenta representar.Evitar escanear códigos QR que prometan ofertas sorprendentes
Si un código QR ofrece beneficios sustanciales, como descuentos masivos o premios, tome un momento para evaluar si es demasiado bueno para ser cierto. Estas ofertas suelen ser señuelos para atraer a los usuarios desprevenidos.Mantener actualizada su solución de seguridad
Una buena práctica de ciberseguridad es tener un software antivirus confiable y actualizado en sus dispositivos móviles, especialmente si realiza transacciones bancarias o maneja información confidencial en ellos. Estos programas pueden detectar enlaces maliciosos y advertirle de posibles amenazas.Educarse sobre las amenazas digitale
s
Conocer los diferentes tipos de ataques, como el quishing, le permitirá detectar señales de alerta y adoptar una actitud proactiva frente a la seguridad digital. Compartir este conocimiento con familiares y amigos también puede ayudar a que estén prevenidos.