Los QR nacieron en la última década del siglo XX como un código fácil y rápido de leer por diferentes dispositivos. Fueron populares durante algunos años, en particular en algunos países como Japón, pero poco a poco fueron cayendo en desuso ante el auge de otras tecnologías móviles. Sin embargo, la pandemia los ha sacado del cajón del olvido digital y los códigos QR han recuperado su popularidad perdida. En ellos, los ciberdelincuentes han visto una nueva puerta de entrada para los ataques tipo phishing. De la combinación de ambos términos nace el QRishing.
Los códigos QR (siglas en inglés para respuesta rápida) están formados por módulos bidimensionales compuestos por puntos diferenciados entre sí por colores de un alto contraste (como blanco y negro) en los que se almacena información, tal como señalan desde el Instituto Nacional de Ciberseguridad (INCIBE). Son, además, un tipo de código estandarizado mediante la norma ISO/IEC 18004:2015 y se usan para insertar un enlace a una página web o a la descarga de una aplicación, para la trazabilidad de productos e incluso para acceder al transporte público.
Los ataques de tipo QRishing se aprovechan precisamente de esta versatilidad para engañar al usuario y sustraerle información importante o, incluso, introducir contenido fraudulento en su dispositivo. Según el INCIBE, el QRishing es un tipo de ataque que combina la tecnología QR con la ingeniería social “para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje o correo electrónico”. Al escanear el código, el usuario es redirigido a una web falsa que suplanta la de una empresa real mediante las técnicas habituales del phishing y aprovecha la confianza del usuario para solicitar información confidencial.
Los códigos QR están presentes en multitud de actividades cotidianas. Desde las cartas digitales de los restaurantes hasta los tickets de un parking, son elementos habituales en nuestro día a día. Por eso, los ataques de QRishing están dirigidos, sobre todo, a las personas. Así, un ataque de phishing por QR puede causar los siguientes perjuicios:
Con el QRishing, el problema no está tanto en el hecho de escanear el propio QR, sino en lo que se esconde detrás de él. Tal como recuerdan desde la Oficina de Seguridad del Internauta (OSI), basta con tener en cuenta una serie de buenas prácticas para no caer en el phishing mediante QR y evitar los ciberriesgos asociados.
El phishing por QR no solo afecta al usuario que sufre el ataque, sino que también tiene el potencial de dañar la reputación del negocio del que se suplanta la identidad o en el que está colocado el código QR fraudulento. El INCIBE señala, también, una serie de buenas prácticas para evitar que un negocio se vea afectado por QRishing.
A simple vista, un código QR fraudulento no tiene por qué diferenciarse en nada de uno que no ha sido modificado. Sin embargo, sí existen herramientas y técnicas disponibles para comprobar que el QR no ha sido alterado. La mejor opción es no registrarlo con la herramienta habitual de escaneo, sino utilizar alguna de las herramientas específicas disponibles, como Kaspersky QR Scanner, que realizarán todas las comprobaciones de seguridad necesarias antes de redirigir al usuario a la web.
Además, como sucede con el resto de estafas de phishing, la prudencia y el sentido común son siempre buenos aliados. Los QR están por todos lados hoy en día, pero escanear un código de una pegatina en la calle o de un volante de publicidad de origen desconocido puede no ser la mejor idea. Por otro lado, deben siempre tenerse en cuenta los consejos facilitados antes, como solo hacer clic en URL conocidas y seguras o nunca entregar datos privados.