Ir al contenido principal
¿Podemos ayudarte a buscar algo?
main content, press tab to continue
Artículo

QRishing, ¿cómo protegerse de este ciberataque?

Enero 5, 2023

Los QR nacieron en la última década del siglo XX como un código fácil y rápido de leer por diferentes dispositivos.
Cyber Risk Management
N/A

Los QR nacieron en la última década del siglo XX como un código fácil y rápido de leer por diferentes dispositivos. Fueron populares durante algunos años, en particular en algunos países como Japón, pero poco a poco fueron cayendo en desuso ante el auge de otras tecnologías móviles. Sin embargo, la pandemia los ha sacado del cajón del olvido digital y los códigos QR han recuperado su popularidad perdida. En ellos, los ciberdelincuentes han visto una nueva puerta de entrada para los ataques tipo phishing. De la combinación de ambos términos nace el QRishing.

¿Qué es el QRishing?

Los códigos QR (siglas en inglés para respuesta rápida) están formados por módulos bidimensionales compuestos por puntos diferenciados entre sí por colores de un alto contraste (como blanco y negro) en los que se almacena información, tal como señalan desde el Instituto Nacional de Ciberseguridad (INCIBE). Son, además, un tipo de código estandarizado mediante la norma ISO/IEC 18004:2015 y se usan para insertar un enlace a una página web o a la descarga de una aplicación, para la trazabilidad de productos e incluso para acceder al transporte público.

Los ataques de tipo QRishing se aprovechan precisamente de esta versatilidad para engañar al usuario y sustraerle información importante o, incluso, introducir contenido fraudulento en su dispositivo. Según el INCIBE, el QRishing es un tipo de ataque que combina la tecnología QR con la ingeniería social “para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje o correo electrónico”. Al escanear el código, el usuario es redirigido a una web falsa que suplanta la de una empresa real mediante las técnicas habituales del phishing y aprovecha la confianza del usuario para solicitar información confidencial.

¿Cómo puede afectar un ataque QRishing?

Los códigos QR están presentes en multitud de actividades cotidianas. Desde las cartas digitales de los restaurantes hasta los tickets de un parking, son elementos habituales en nuestro día a día. Por eso, los ataques de QRishing están dirigidos, sobre todo, a las personas. Así, un ataque de phishing por QR puede causar los siguientes perjuicios:

  • Robo de credenciales, desde el usuario y la contraseña de una red social hasta las claves de acceso a una plataforma bancaria.
  • Descarga e instalación de malware. La suplantación de identidad también se usa a menudo para que el usuario descargue e instale una aplicación aparentemente oficial, pero que en realidad incorpora un malware.
  • Llamadas o emails fraudulentos. Tras escanear el QR, se pone en marcha una llamada automática o se deja listo para el envío un correo electrónico que después acaba facilitando a los ciberdelincuentes los datos personales de los usuarios.
  • Robo de datos de red. Aunque es menos habitual, un ataque de QRishing puede simplemente buscar sustraer los datos de la conexión de red de nuestro dispositivo para después acceder a ella.
  • Búsqueda de vulnerabilidades. El escaneo de un QR fraudulento podría facilitar a los ciberdelincuentes la búsqueda de vulnerabilidades en el dispositivo a través de las cuales lanzar después el ataque.

Consejos para evitar el QRishing como usuario

Con el QRishing, el problema no está tanto en el hecho de escanear el propio QR, sino en lo que se esconde detrás de él. Tal como recuerdan desde la Oficina de Seguridad del Internauta (OSI), basta con tener en cuenta una serie de buenas prácticas para no caer en el phishing mediante QR y evitar los ciberriesgos asociados.

  • URL sospechosa. Si la dirección web a la que nos dirige el QR no nos da confianza, mejor evitar acceder a ella.
  • Seguridad web. Un paso siempre importante es asegurarse de que la web a la que nos redirige el QR cumple con los estándares de protección. El más básico es que la URL empiece por HTTPS.
  • Escanear enlaces. Si decidimos hacer clic en el enlace, una opción es hacer un escáner previo del mismo mediante herramientas específicas. Muchos de los antivirus más conocidos también tienen aplicaciones enfocadas al escaneo del propio QR.
  • Nunca proporcionar datos privados ni contraseñas. Esta es una regla de oro que siempre hay que tener en cuenta a la hora de navegar. Las plataformas que necesitan datos privados o información delicada, como los bancos o las pasarelas de pago, son cada vez más seguras. Fuera de ellas, es recomendable no entregar nunca datos privados ni contraseñas.

Cómo no sufrir phishing por QR en tu negocio

El phishing por QR no solo afecta al usuario que sufre el ataque, sino que también tiene el potencial de dañar la reputación del negocio del que se suplanta la identidad o en el que está colocado el código QR fraudulento. El INCIBE señala, también, una serie de buenas prácticas para evitar que un negocio se vea afectado por QRishing.

  • Comprobar con regularidad que los QR presentes en el establecimiento no han sido modificados.
  • Escoger un generador de códigos QR de garantías en materia de seguridad.
  • Comprobar frecuentemente que el código QR redirige a la página web que debe y no a una fraudulenta.
  • Verificar que la URL a la que estamos redirigiendo a los clientes es segura y fiable, así como que cumple con los estándares de seguridad.
  • Evitar divulgar el código QR a través de redes sociales o plataformas de mensajes.

¿Cómo comprobar que un QR no ha sido alterado?

A simple vista, un código QR fraudulento no tiene por qué diferenciarse en nada de uno que no ha sido modificado. Sin embargo, sí existen herramientas y técnicas disponibles para comprobar que el QR no ha sido alterado. La mejor opción es no registrarlo con la herramienta habitual de escaneo, sino utilizar alguna de las herramientas específicas disponibles, como Kaspersky QR Scanner, que realizarán todas las comprobaciones de seguridad necesarias antes de redirigir al usuario a la web.

Además, como sucede con el resto de estafas de phishing, la prudencia y el sentido común son siempre buenos aliados. Los QR están por todos lados hoy en día, pero escanear un código de una pegatina en la calle o de un volante de publicidad de origen desconocido puede no ser la mejor idea. Por otro lado, deben siempre tenerse en cuenta los consejos facilitados antes, como solo hacer clic en URL conocidas y seguras o nunca entregar datos privados.

Related content tags, list of links Artículo Gestión de ciberriesgos España

CIBERRIESGOS

¿Quieres saber más sobre nuestras soluciones de ciberriesgo?

Descubre cómo la gestión estratégica del ciberriesgo facilita la consecución de los objetivos de tu empresa.

Capacidades relacionadas

Gestión de ciberriesgos
Riesgos financieros, ejecutivos y profesionales (Finex)
El seguro D&O: protección para directivos y administradores

Contenidos relacionados

Ver todas las publicaciones
Artículo
6 diferencias entre un bróker y un agente de seguros
Informe de encuesta
Informe de riesgos de la cadena de suministro de alimentos, bebidas y agricultura de 2023
Artículo
Seguros de Crimen y seguros de ciberriesgos: ¿cuáles son las diferencias?
Informe de encuesta
Informe global de riesgos de la cadena de suministro 2023
Informe de encuesta
Informe de encuesta sobre responsabilidad civil de administradores y directivos 2023
Podcast
Podcast Riesgos 360º
Contact us