¡Ojo con el 'quishing'!: cómo evitar la nueva estafa en auge a través de códigos QR

Nueva estafa ante la que extremar la precaución. Responde al nombre de 'QRshing' o 'Quishing' -la fusión de las siglas 'QR' (en inglés, 'Quick Response' o respuesta rápida) con el término 'phishing'- y se articula a través de códigos QR. El objetivo de los ciberdelincuentes no es otro que darle una nueva vuelta de tuerca a un timo con el que a base de difusión la mayoría de la población estaba ya familiarizada y aprovechar los avances tecnológicos para maquillarlo y hacerlo más sofisticado. El fin último, no obstante, es el mismo: suplantar a entidades bancarias, instituciones, empresas de paquetería y demás para engañar a la víctima y convencerla de que aporte sus datos personales o su tarjeta de crédito. La excusa suele ser un cargo pendiente (por descubiertos, tasas de aduanas...) y el medio una página web creada a imagen y semejanza de la original de la compañía u órgano en cuestión. «Estos calcos resultan tan exactos que muchos acaban picando y viendo reducido el balance de su cuenta corriente, cuando ya no queda otra que denunciar a un estafador que no suele dejar rastro», alertan los expertos en ciberseguridad.

Desde Check Point -proveedor especializado en soluciones de ciberseguridad en la nube basadas en IA- advierten de un aumento en los ataques de phishing con códigos QR. Así, ponen en jaque ante una nueva campaña «en la que el código QR no está en una imagen, sino que se crea mediante HTML y caracteres ASCII». A finales de mayo se detectaron más de 600 correos electrónicos que seguían este patrón, subrayan.

Los ataques de quishing se diferencian de los ataques de phishing tradicionales en la forma en que se formatea el enlace en un correo electrónico. Así, en lugar de un enlace basado en texto, el sitio web malicioso se señala mediante un código QR. Cuando un usuario escanea el código QR, su dispositivo puede extraer el enlace indicado y llevar al usuario a esa URL. «Ahora, estamos viendo una nueva tendencia hacia la manipulación de códigos QR», indican. Y precisan: «Los ciberdelincuentes están insertando pequeños fragmentos de código en el HTML. A simple vista, en un email, esto podría parecer un código QR estándar, pero para un OCR, no se detecta ninguna información relevante. Existen plataformas online que facilitan a los estafadores la generación automática de estos códigos maliciosos, los cuales pueden ser configurados para incluir enlaces dañinos. En muchos casos de ataques de phishing con códigos QR, el correo electrónico pretende ser una solicitud de autenticación. Sin embargo, la presencia de caracteres ASCII en el código QR puede llevar a los sistemas de seguridad a pasar por alto el riesgo, interpretando erróneamente el email como seguro», apostillan.

Más del 70% de las estafas de phishing se cometen actualmente mediante códigos QR, según estimaciones de la empresa de ciberseguridad ProofPoint. La Policía Nacional, de hecho, ya ha alertado de su proliferación a través de sus perfiles en las distintas redes sociales. Ahora bien, ¿qué precauciones debemos tomar para no meternos en líos al escanear este tipo de imágenes? En primer lugar, al pasar la cámara de nuestro móvil por estos códigos debemos prestar atención a que se previsualice la dirección web asociada en la pantalla del teléfono. «Antes de pinchar en la misma debe comprobarse que comienza por 'https' en lugar de 'http', esto es, que resulta una URL segura», proponen los expertos. Una vez dentro, hay que desconfiar ante cualquier tipo de formulario que requiera la introducción de datos bancarios o personales. ¿Corresponde el logotipo de esa web al original de la empresa en que nos hemos interesado o parece retocado de algún modo? ¿Se incluye texto con faltas de ortografía o gramaticales? Si es así podría tratarse de una suplantación.

Ojo, además, con aquellas pegatinas que parezcan colocadas encima de otras. También es recomendable instalar un antivirus en nuestro dispositivo (para que nos alerte de infecciones o direcciones sospechosas) y mantener su sistema operativo actualizado a la última versión para contar con los últimos parches de seguridad.

• Temas
• Estafas
• Hackers
• Phishing
• Ciberseguridad