En una era de códigos QR, los ciberdelincuentes emplean un esquema llamado 'quishing' para engañar a las personas y dirigirlas a sitios web maliciosos. Siga leyendo para obtener más información sobre este engaño, las diversas formas de phishing de códigos QR y cómo protegerse de dichos ataques.
¿Qué es Quishing?
Quishing es un tipo de ataque cibernético que implica el uso de códigos QR para engañar a las personas para que visiten sitios web maliciosos o revelen información confidencial. Este ataque aprovecha la confianza y la conveniencia asociadas con los códigos QR para engañar a las víctimas. Quishing también se puede conocer como phishing de código QR, suplantación de código QR o QRishing.
¿Cómo funcionan los ataques de phishing con códigos QR?
Un ataque típico de phishing de código QR o quishing tiene cinco etapas clave:
- Distribución : los atacantes crean códigos QR fraudulentos y los distribuyen a través de varios medios, como imprimirlos en folletos, carteles o etiquetas, o compartirlos digitalmente a través de correos electrónicos, SMS o redes sociales.
- Engaño : Los códigos QR fraudulentos generalmente están diseñados para parecer legítimos y pueden prometer ofertas, descuentos o servicios atractivos para atraer a posibles víctimas.
- Escaneo : las víctimas encuentran el código QR y usan sus dispositivos móviles, equipados con aplicaciones de lectura de códigos QR, para escanearlo.
- Redirección : al escanear el código QR, el dispositivo de la víctima se dirige a un sitio web malicioso que está bajo el control de los atacantes. Este sitio web suele imitar un sitio de confianza o conocido.
- Robo de datos : el sitio web falso puede pedirle a la víctima que ingrese información confidencial, como credenciales de inicio de sesión, detalles personales o información financiera, haciéndose pasar por una fuente legítima que solicita la información proporcionada.
Tipos de ataques de quishing
Los ataques de phishing QR o QRishing pueden tomar varias formas, y los atacantes utilizan diferentes tácticas para engañar a las víctimas. Estos son algunos ejemplos:
- Descuentos de productos falsos : los atacantes distribuyen códigos QR que prometen descuentos sustanciales en productos o servicios populares. Cuando se escanea, el código QR redirige a los usuarios a un sitio web falso donde se les pide que proporcionen información personal y detalles de pago. El descuento prometido nunca se materializa.
- Entradas de eventos falsas : los estafadores crean códigos QR para eventos que no existen o entradas que no poseen. Víctimas desprevenidas escanean el código, creyendo que están comprando boletos, solo para perder dinero y robar sus datos personales.
- Estafas de ofertas de trabajo : los atacantes pueden enviar ofertas de trabajo falsas por correo electrónico o redes sociales con un código QR para la solicitud de trabajo. Cuando se analiza, el código lleva al usuario a una página de phishing que solicita información personal y financiera.
- Estafas bancarias y financieras : los atacantes pueden enviar códigos QR que parecen ser del banco de un usuario y afirman estar vinculados a información importante de la cuenta. El escaneo del código redirige al usuario a un sitio web bancario falso diseñado para robar credenciales de inicio de sesión e información financiera.
- Estafas de criptomonedas: los estafadores crean códigos QR engañosos y los distribuyen a través de varios canales, como correos electrónicos, redes sociales o incluso pegatinas físicas. Las víctimas desprevenidas escanean estos códigos, creyendo que están iniciando transacciones legítimas con criptomonedas , pero en realidad, terminan enviando sus fondos a la billetera del estafador.
- Estafas de donaciones benéficas : los estafadores distribuyen códigos QR que afirman ser para donaciones benéficas. Cuando se escanea, el código lleva a los usuarios a una página de donación fraudulenta que captura sus detalles de pago.
- Estafas de entrega de paquetes : los estafadores envían códigos QR en correos electrónicos o mensajes de texto que afirman ser información de seguimiento para la entrega de un paquete. Cuando el destinatario analiza el código, lo redirige a un sitio web falso que busca información personal o envía malware .
- Estafas de COVID-19 : durante la pandemia de COVID-19, los estafadores utilizaron códigos QR en ataques de phishing. Enviaron códigos QR en correos electrónicos o mensajes, afirmando tener un vínculo a información sobre las vacunas COVID-19 o las pautas de seguridad. El escaneo del código QR llevó a sitios web fraudulentos que buscaban información personal o propagaban malware.
- Estafas de restaurantes y menús : después de que aumentara el uso de códigos QR durante y después de la pandemia de COVID-19, los atacantes distribuyeron códigos QR en menús de restaurantes falsos. Cuando se analizan, estos códigos se redirigen a sitios web malintencionados que intentaron instalar malware o robar información personal.
Estos son solo algunos ejemplos de ataques de phishing QR. Los códigos QR son herramientas convenientes, pero los ciberdelincuentes pueden explotarlos para engañar a las personas para que revelen información confidencial o sean víctimas de varias estafas. Es fundamental tener cuidado al escanear códigos QR, especialmente los recibidos de fuentes no verificadas o no solicitadas, y verificar su legitimidad antes de tomar cualquier medida.
Ejemplos del mundo real de estafas de anulación
Ataque quishing chino dirigido a cuentas bancarias
En 2022, surgió una campaña de phishing de QR en China, donde los estafadores se hicieron pasar por el Ministerio de Finanzas chino . Enviaron correos electrónicos engañosos, lo que indujo a los usuarios a creer que podían solicitar una nueva subvención del gobierno. El truco consistía en pedir a los usuarios que escanearan un código QR incrustado en un documento adjunto utilizando una aplicación de mensajería y pago móvil como WeChat. Los piratas informáticos a menudo optan por los códigos QR porque son difíciles de detectar a través de medidas técnicas de seguridad. Además, los dispositivos móviles, que normalmente se utilizan para tales acciones, pueden ser menos seguros que las computadoras. Una vez que se escaneó el código, se dirigió a los usuarios a una página web donde se les solicitó que proporcionaran información detallada sobre sus tarjetas de crédito y cuentas bancarias.
Quioscos de pago para estacionar y estafas de boletos de estacionamiento en los EE. UU.
En un caso de Texas , los ciberdelincuentes colocaron calcomanías de códigos QR falsificados en los quioscos de pago para estacionar, lo que llevó a los conductores a creer que podrían usarlos para pagar el estacionamiento. Al escanear estos códigos, los conductores fueron dirigidos a un sitio web fraudulento donde ingresaron la información de su tarjeta de crédito, y sin darse cuenta revelaron sus datos confidenciales a los piratas informáticos. Un incidente similar ocurrió en febrero de 2022 en Atlanta cuando los conductores descubrieron multas de estacionamiento falsas con códigos QR en sus vehículos, supuestamente para el pago de una multa. Después de que se descubrió el problema, las autoridades locales advirtieron que Atlanta no emplea códigos QR en sus multas de estacionamiento.
¿Qué es QRLJacking?
Un concepto relacionado con el quishing es el de QRLJacking. El inicio de sesión de respuesta rápida (QRL) es un método de autenticación que utiliza códigos QR para iniciar sesión en sitios web, aplicaciones o servicios digitales. Los usuarios escanean el código QR en la pantalla de inicio de sesión con su teléfono inteligente, ya sea otorgando acceso directo o iniciando una autenticación secundaria para configuraciones de múltiples factores.
Sin embargo, los piratas informáticos pueden explotar QRL de la siguiente manera:
- Comienzan una sesión QR del lado del cliente en el sitio web o la aplicación de destino.
- Clonan el código QR legítimo y lo redirigen a su servidor.
- Incrustan este QR manipulado en una página de inicio de sesión falsa que se parece a la original.
- El vínculo de la página de inicio de sesión falsa se distribuye por correo electrónico u otros canales, lo que solicita a los usuarios hacer clic y escanear el código QR.
- Si la autenticación multifactor no está activa, el escaneo del código QR otorga acceso al atacante.
Signos de ataques de quishing: a qué prestar atención
El phishing de QR a menudo pasa por alto los detectores de malware y los filtros de correo electrónico porque oculta los códigos QR en los correos electrónicos o documentos adjuntos con extensiones no sospechosas. Esta oscuridad, combinada con la manipulación emocional o la ingeniería social , hace que las víctimas escaneen códigos QR maliciosos con fines fraudulentos. Tenga cuidado con estos signos de phishing QR:
- Fuentes inusuales: tenga cuidado si recibe códigos QR de fuentes inesperadas o no solicitadas, especialmente en correos electrónicos o mensajes de remitentes desconocidos.
- Dominio no coincidente: compruebe si el código QR redirige a un dominio o sitio web diferente al que dice representar. Esto puede ser una señal de phishing.
- Gramática y ortografía: la mala gramática y la ortografía en los mensajes o instrucciones que lo acompañan pueden indicar un intento de phishing.
- Solicitudes urgentes: tenga cuidado con los códigos QR que vienen con solicitudes urgentes de acción inmediata, como amenazas o promesas de recompensas.
- Múltiples pasos de autenticación: los inicios de sesión con códigos QR auténticos generalmente implican escaneos únicos. Si se le solicita información o pasos adicionales, podría tratarse de un intento de phishing.
- Información demasiado personal: las solicitudes de información altamente personal, como números de seguro social o detalles financieros extensos, pueden ser señales de alerta.
- Permisos inusuales: cuando se le solicite otorgar amplios permisos a una aplicación móvil después de escanear un código QR, tenga cuidado e investigue más.
Las tácticas de phishing QR varían, por lo que la vigilancia y la precaución son esenciales para evitar ser víctima de estas estafas.
Cómo protegerse del quishing
Para protegerse de los ataques de phishing QR, siga estas pautas:
- Verificación de la fuente: verifique siempre la fuente de un código QR antes de escanear, especialmente si es de un remitente desconocido.
- Sea escéptico con los códigos QR no solicitados : tenga cuidado al encontrar códigos QR no solicitados en correos electrónicos, mensajes de texto o materiales físicos.
- Compruebe si hay errores ortográficos y gramaticales: Examine los materiales promocionales en busca de errores ortográficos y gramaticales, que son comunes en las comunicaciones fraudulentas.
- Examine la URL de destino: antes de analizar, asegúrese de que la URL de destino coincida con la fuente esperada y parezca legítima, sin elementos sospechosos o mal escritos.
- Inspeccione la página de destino: después de escanear, examine cuidadosamente el contenido y el diseño de la página de destino. Es más probable que las páginas legítimas parezcan profesionales y sin errores.
- Tenga cuidado con las solicitudes de información inmediatas: tenga cuidado si la página de destino solicita inmediatamente información confidencial, como credenciales de inicio de sesión o detalles de pago. Los servicios legítimos generalmente no solicitan esto por adelantado.
- Verificar ofertas especiales o descuentos: Verifique de forma independiente las ofertas prometidas por códigos QR con el sitio web oficial o la propia empresa. Si algo parece sospechoso o demasiado bueno para ser verdad, confíe en su instinto y evite escanear el código QR.
- Busque HTTPS: busque una conexión segura (HTTPS) en el sitio web redirigido. La S significa "seguro" e indica que el sitio web tiene un certificado de seguridad actualizado.
- Use autenticación de dos factores (FA): habilite FA para sus cuentas en línea para agregar una capa adicional de seguridad en caso de que sus credenciales se vean comprometidas.
- Informe de actividades sospechosas: informe sobre sospechas de ataques de phishing QR a las autoridades pertinentes, al departamento de TI de su organización o a su proveedor de servicios de correo electrónico.
- Infórmese a sí mismo y a los demás: manténgase actualizado sobre las noticias y las amenazas de seguridad cibernética para reconocer los riesgos potenciales. Comparta conocimientos sobre phishing QR y otras amenazas en línea con amigos y familiares para mejorar colectivamente la seguridad en línea.
- Manténgase actualizado: asegúrese de que el sistema operativo y las aplicaciones de su dispositivo móvil se actualicen regularmente con los últimos parches de seguridad para reducir el riesgo de ser víctima de tales ataques.
- Instale software de seguridad: proteja sus dispositivos con un software de seguridad actualizado como Kaspersky Premium , que bloquea sitios web maliciosos y los defiende contra una variedad de amenazas en línea. Kaspersky Premium viene con VPN ilimitada para mayor privacidad para asegurar su conexión a Internet y Password Manager para generar y almacenar contraseñas únicas y seguras.
Si sigue estos consejos y se mantendrá atento, puede reducir significativamente el riesgo de ser víctima de ataques de phishing QR y otras estafas en línea. Priorizar la seguridad en línea es esencial en el mundo digital actual, donde el uso de códigos QR está generalizado.
Preguntas frecuentes sobre quishing y ataques de phishing con código QR
¿Qué es quishing?
Quishing involucra a los ciberdelincuentes que usan códigos QR para llevar a las personas a sitios web falsos, atraerlos para que brinden información personal o financiera, o engañarlos para que descarguen contenido malintencionado. Quishing también se puede conocer como phishing de código QR, suplantación de código QR o QRishing.
Productos relacionados:
- Software antivirus de Kaspersky Premium
- Kaspersky Premium Antivirus: descargue la versión de prueba gratuita durante 30 días
- Kaspersky VPN Secure Connection
- Administrador de contraseñas
Artículos relacionados:
