Qué es Quishing: Explicación de la nueva estafa por códigos QR

¿Conoces el phishing de código QR o “quishing”? Esta forma de ataque de ingeniería social está ganando popularidad entre los ciberdelincuentes deseosos de robar sus datos. En este artículo, descubriremos qué es el quishing, cómo funciona y cómo protegernos de él. ¡Sumerjámonos y aprendamos sobre esta última amenaza en el mundo de la ciberseguridad!

Índice
  1. ¿Qué es Quishing?
  2. ¿Cómo funciona Quishing?
  3. ¿Qué puede pasar si escaneas un código QR falso?
    1. 1.     Podría ser redirigido a un sitio web de phishing:
    2. 2.     Su dispositivo podría infectarse con malware:
    3. 3.     El código QR podría enviar correos electrónicos desde sus cuentas:
  4. Recomendaciones a tener en cuenta: 
  5. ¿Qué hacer si escaneó un código QR falso?
  6. Conclusión:

¿Qué es Quishing?

El quishing de código QR es un tipo de ataque de la modalidad "phishing" que utiliza códigos QR para captar a las víctimas para que revelen información confidencial. Los atacantes crean un código QR que parece legítimo, como uno que parece ofrecer un descuento o una oferta especial, pero de hecho dirige a la víctima a un sitio web falso controlado por el atacante.

Una vez en el sitio web falso o suplantado, se solicita a la víctima que ingrese información confidencial, como credenciales de inicio de sesión o información de tarjeta de crédito, que luego es robada por el atacante. Los ataques de quishing pueden ser difíciles de detectar, ya que los atacantes crean sitios web y logotipos que parecen legítimos y se hacen pasar por marcas conocidas  o instituciones como bancos.

¿Cómo funciona Quishing?

El atacante crea un código QR que parece legítimo, como por ejemplo uno que ofrece un descuento o una oferta especial. Luego, distribuyen el código QR a través de varios medios, como correo electrónico, redes sociales o incluso folletos físicos.

Nueva estafa telefonica que afecta a clientes del banco estadoNueva estafa telefonica que afecta a clientes del banco estado

Cuando la víctima escanea el código con su teléfono inteligente u otros dispositivos, los redirige a un sitio web o archivo malicioso. Alternativamente, los códigos QR pueden configurarse para descargar automáticamente malware en el dispositivo de la víctima, lo que permite al atacante robar información confidencial o tomar el control del dispositivo.

¿Qué puede pasar si escaneas un código QR falso?

En primer lugar, un código QR "falso" no es realmente una cosa. El uso de los códigos puede causar problemas; los códigos en sí no son dañinos. Quishing puede plantear varios riesgos tanto para las organizaciones como para las personas.

Los códigos QR no solo lo dirigen a una URL. Hay algunas formas diferentes en que los estafadores usan códigos QR para robar información personal o cometer otros delitos:

1.     Podría ser redirigido a un sitio web de phishing:

Los actores de amenazas desarrollan sitios web que se parecen de manera convincente al contenido que espera y luego le solicitan información crítica. Pero todo lo que proporcione, incluido su nombre, número de teléfono y número de tarjeta de crédito, se envía al atacante y puede usarse para robar su identidad.

Cómo Detectar Estafas de Inteligencia Artificial en LíneaCómo Detectar Estafas de Inteligencia Artificial en Línea

2.     Su dispositivo podría infectarse con malware:

Los códigos QR también se pueden configurar para descargar automáticamente contenido en sus dispositivos, como malware , ransomware y troyanos . Algunas infecciones tienen la capacidad de rastrearlo, robar sus datos privados, encriptar su dispositivo e incluso espiarlo.

3.     El código QR podría enviar correos electrónicos desde sus cuentas:

Los códigos también se pueden programar para acceder a sitios de pago, monitorear cuentas de redes sociales y enviar correos electrónicos preescritos. Por ejemplo, un código QR falso puede crear y enviar correos electrónicos desde su cuenta si lo escanea. Los estafadores pueden utilizar códigos QR de diversas formas para realizar ataques de phishing o quizás dañar su reputación.

Recomendaciones a tener en cuenta: 

No debería evitar escanear códigos QR por completo. Aunque este tipo de estafas se aprovechan de la incapacidad de nuestros ojos para “leer” los códigos QR, existen algunas señales que indican si se trata de un código QR fraudulento.

  • Verifique el sitio de destino del código QR : verifique si hay errores y palabras mal escritas, diseño de mala calidad, fotos de baja calidad y URL inseguras como indicadores de que ha aterrizado en un sitio web falso. Los sitios que son "seguros" utilizarán HTTPS en lugar de HTTP y tendrán un icono de candado junto a su URL;
  • Obtenga una vista previa de la URL antes de acceder al enlace : antes de dirigirlo a la página deseada, su teléfono le indicará el destino del código QR. Verifique la URL para ver si parece segura. Si la URL está acortada o es ilegible, tenga mucho cuidado;
  • Tenga cuidado con los códigos QR en lugares públicos o en el correo : un código QR público o uno que reciba en el correo podría haber sido agregado allí por un actor de amenazas o ser alterado fácilmente. Evite escanearlos tanto como sea posible para minimizar el riesgo de infección;

Para mayor precaución, evite descargar aplicaciones de escaneo de códigos QR y solo use el escáner QR integrado de su teléfono en la cámara.

¿Qué hacer si escaneó un código QR falso?

Hay pocas formas de diferenciar un código QR fraudulento de uno real hasta que accedes al enlace. Y con la abundancia de códigos QR utilizados, es importante ser extremadamente cauteloso con la información que proporciona a través de dicho código.

Aquí hay algunos pasos que debe seguir rápidamente al escanear un código QR que cree que podría ser una estafa si desea protegerse contra el malware o el robo de identidad:

  • Cambie sus contraseñas y proteja sus cuentas en línea : asegúrese de usar contraseñas seguras para sus cuentas y, para agregar una capa adicional de seguridad, habilite la autenticación de dos factores (2FA) ;
  • Desconéctese de su red Wi-Fi o celular: si descargó malware en su dispositivo, apague cualquier conexión a Internet tan pronto como se dé cuenta de que el archivo podría estar dañado. Hay menos riesgo de que el malware pueda enviar su información confidencial a un pirata informático si no hay conexión;
  • Haga una copia de seguridad de sus archivos importantes: si su dispositivo se ve comprometido, los actores de amenazas pueden robar información privada como imágenes o documentos, o incluso pueden cifrar su disco y exigir un rescate. Para ser más cauteloso, haga una copia de seguridad de sus archivos en un disco externo;
  • Configura una alerta de fraude para tus tarjetas: Si ingresaste tu información financiera, notifica a las agencias de crédito lo antes posible. Las alertas de fraude y los congelamientos de crédito hacen que sea más difícil para los estafadores abrir tarjetas de crédito o cometer fraudes de préstamos.

Conclusión:

Los ataques de quishing pueden plantear riesgos significativos para las personas y las organizaciones. Al tener cuidado al escanear códigos QR, verificar URL de sitios web, instalar software antimalware, mantener actualizados los dispositivos y educar a los empleados, las personas y las organizaciones pueden protegerse de estos ataques y reducir sus posibilidades de ser víctimas de los ciberdelincuentes.

 

Elena Mateluna

Elena Mateluna

Sobre el autor

Redactora, sociologa experta en conductas humanas, magister en gestión de seguridad pública.

Click to rate this post!
[Total: 2 Average: 5]

Entradas Relacionadas

Agregar un comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Subir

Usamos cookies para asegurar que te brindamos la mejor experiencia en nuestra web. Si continúas usando este sitio, asumiremos que estás de acuerdo con ello. Más Información