Quishing: Los Peligrosos Códigos QR de los Estafadores

Quishing: Los Peligrosos Códigos QR de los Estafadores 

Quishing Peligrosos Códigos QR de los Estafadores

El quishing, una combinación de “código QR” y “phishing”, representa una creciente amenaza para la ciberseguridad que aprovecha los códigos QR para inducir a las personas a revelar información confidencial.

Los ataques de phishing con códigos QR van en aumento y presentan una amenaza importante tanto para los usuarios como para las organizaciones. A continuación, te contamos más detalles.

¿Qué es el Quishing?

Concepto de código QR siendo escaneado
Concepto de código QR siendo escaneado

Quishing es el proceso de dirigir a un usuario final a un sitio web fraudulento a través de un código QR. El diseño de los códigos QR hace imposible que el usuario sepa hacia dónde lo dirigirá el código después de escanearlo. Los ciberdelincuentes crean un código QR que parece legítimo, como uno que parece ofrecer un descuento u oferta especial, pero que en realidad dirige a la víctima a un sitio web falso controlado por el atacante. 

¿Cómo Funciona el Quishing?

El quishing utiliza un código QR que contiene un enlace malicioso. Este enlace puede estar adicionalmente oculto con un acortador de URL. Los métodos de disfraz aquí no son diferentes del phishing clásico a través de correos electrónicos. Sin embargo, a diferencia de esto, el código QR generalmente se imprime, ya que enviarlo por correo electrónico o a teléfonos móviles no es particularmente plausible.

Quishing Físico

Esto resulta en una desventaja importante del quishing en comparación con el phishing: el número de posibles víctimas es significativamente menor. Si consideras el esfuerzo de imprimir y distribuir los códigos con la cantidad de personas alcanzadas, el phishing supera ampliamente al quishing en este aspecto.

Sin embargo, los criminales no están impedidos de incurrir en estos gastos. En los Estados Unidos (Texas), se descubrieron códigos QR manipulados en estacionamientos. El enlace del sitio web conduce a una página que no es de una fuente oficial. No está claro en el comunicado oficial si se pegó un código QR existente o si los criminales falsificaron la funcionalidad.

Nos hemos acostumbrado a los códigos QR. El registro de vacunación digital, el rastreo de contactos, los check-ins: los códigos QR han entrado en nuestras vidas de manera más evidente que nunca como resultado de la pandemia de la corona. El hecho de que tengas que ver el menú con un código QR al visitar un restaurante ya no es inusual. Incluso al compartir el perfil de Instagram, se genera un código QR.

Quishing Digital

No obstante, el Quishing también consiste en enviar un correo electrónico con un código QR bajo la apariencia de una solicitud de servicio, oferta o la amenaza de ser desconectado de un servicio. Por ejemplo, un correo electrónico podría decir:

Estimado empleado, su estado de cuenta de jubilación para el año 2023, que cubre detalles trimestrales y anuales, ya está disponible para su lectura. Utilice la cámara de su teléfono inteligente para escanear el código a continuación y obtener acceso directo a sus estados de ganancias, estados de cuenta y saldo".

Una vez que se escanea el código, es posible que lleve al usuario a un sitio web legítimo y lo redireccione al sitio fraudulento. Muy a menudo, los ciberdelincuentes trabajan para robar su información personal y financiera. Este tipo de estafa también podría realizarse de forma física. A veces, se trata de una multa de estacionamiento falsa colocada en el parabrisas de su automóvil que contiene un código QR para pagar la multa o un código QR colocado en la parte posterior de un parquímetro, lo que le lleva a asumir que es un método de pago. 

Cómo Protegerse del Quishing

Un elemento fundamental en la protección contra el quishing es el escáner de códigos QR utilizado. Muchas aplicaciones muestran una vista previa del código incrustado:

  • Apple tiene implementado un escáner de códigos QR con la app Cámara.
  • Para dispositivos Android existen varios enfoques. Dependiendo de la marca del teléfono, es posible que sea necesario descargar un escáner de códigos manualmente desde la Play Store.
Ver también

Aquí tienes algunos consejos del FBI para evitar convertirte en una víctima:

  1. Una vez que escanees un código QR, verifica la URL para asegurarte de que sea el sitio previsto y parezca auténtico. Asegúrate de usar generadores QR confiables.
  2. Ten precaución al ingresar información de inicio de sesión, personal o financiera desde un sitio al que accediste a través de un código QR.
  3. Si escaneas un código QR físico, asegúrate de que el código no haya sido manipulado, por ejemplo, con una pegatina colocada sobre el código original.
  4. Evita realizar pagos a través de un sitio al que accediste mediante un código QR. En su lugar, ingresa manualmente una URL conocida y de confianza para completar el pago.
  5. No descargues una aplicación de escáner de códigos QR. Esto aumenta el riesgo de descargar malware en tu dispositivo. La mayoría de los teléfonos tienen un escáner incorporado a través de la aplicación de la cámara.
  6. No descargues una aplicación desde un código QR; utiliza la tienda de aplicaciones de tu teléfono para descargas más seguras.

Si bien los códigos QR han facilitado la vida de muchas maneras, también han abierto nuevas vías para los ciberdelincuentes. Como regla general, no escanees códigos QR incrustados en correos electrónicos o mostrados en lugares aleatorios.

Palabras Finales

Te recomendamos encarecidamente que prestes atención a la función de vista previa al instalar un escáner de códigos QR. Dado que el quishing difiere principalmente por el medio de comunicación, pero tiene el mismo objetivo que el phishing, este aspecto puede ser capturado y entrenado mediante nuevos métodos de capacitación, como llevar a cabo una simulación de phishing. Aquí es concebible que los códigos se distribuyan como folletos en la empresa bajo investigación, se coloquen en las habitaciones u otros lugares significativos.

Los investigadores Filipo Sharevski y otros de la Universidad DePaul en los Estados Unidos han publicado un interesante artículo sobre este tema, “Gone Quishing: A Field Study of Phishing with Malicious QR Codes“. Puede ser consultado de forma gratuita en arxiv.

Etiquetas
https://esgeeks.com/

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Qué significa cada emoji?

Imagen
¿Qué significa cada emoji? Vamos a explicar el  significado de todos los emojis , pues actualmente son tantos y tan diversos que se complica saber qué significa cada emoji concreto. Nuestra lista incluye los  3.664 caracteres del estándar Emoji 15.0  (dentro de Unicode 15), y se actualiza con las últimas novedades según se aprueban. Apps de chat como WhatsApp, actualizadas frecuentemente con todo tipo de novedades, van incorporando nuevos emojis que muchas veces dejamos de lado porque  desconocemos realmente qué quieren expresar . A veces, los emojis pueden transmitir emociones confusas, y causar malentendidos o enfados. Curiosidades Antes de nada debemos conocer bien las  diferencias entre emojis y emoticonos  para evitar errores. Los emojis son un estándar que sus creadores, la organización Unicode, decide qué representan, pero luego cada fabricante, sistema operativo o app crea una ilustración propia, a veces con diferentes considerables entre ellas. Claro que lo que significa cada
Read more »

Este mapa contiene enlaces a todos los periódicos del mundo traducidos

Imagen
Este mapa contiene enlaces a todos los periódicos del mundo traducidos: una gran herramienta para estar informado La web se llama Newspaper Map, y con un par de clics podrás acceder a prácticamente cualquier periódico La herramienta es gratuita, y dispone de enlaces directos a periódicos traducidos Internet nos ha dado fantásticas herramientas para estar informado en todo momento. Hoy día podemos conocer multitud de detalles de cualquier suceso que ocurra en el mundo, aunque este exceso de medios pueda en ocasiones dar lugar también  al aumento en desinformación . Sin embargo, escogiendo sabiamente nuestras herramientas, tendremos menos oportunidad de que esto último ocurra, y en este artículo te traemos  una herramienta muy útil si te gusta estar informado . La web en cuestión se llama «  Newspaper Map ,» y su nombre ya es bastante ilustrativo. Básicamente contamos con un mapamundi donde están organizados prácticamente  todas las versiones online de todos los periódicos de
Read more »

4 cosas que podrías perder si Google elimina tu cuenta

Imagen
4 cosas que podrías perder si Google elimina tu cuenta Google ha decidido eliminar todas las cuentas inactivas. ¿Te preocupa que eso pueda afectarte? Esto es lo que podrías perder si Google elimina tu cuenta. Google actualizó su política de cuentas inactivas en mayo de 2023 y comenzará a eliminar cuentas sin actividad en los últimos dos años. Si bien tiene sentido desde la perspectiva de Google, podría traer noticias preocupantes para el resto de internet. Eso se debe a que muchas personas usan sus cuentas de Google para acceder a varias cuentas, no solo a Google. Entonces, ¿qué datos podrías perder si Google elimina una cuenta inactiva? 1. Podrías perder tus fotos (Google Photos) Google Photos es una herramienta útil para muchos usuarios, especialmente porque realiza copias de seguridad automáticas de tus fotos y videos. Google incluso actualizó Google Photos para que sea más fácil organizar las imágenes. Sin embargo, si ese es el único lugar donde almacenas tus fotos, especialmente l
Read more »

Cómo reparar una memoria USB o memoria SD dañada

Imagen
En este artículo te mostraré diversos métodos que ayudarán a reparar tu  memoria USB  o memoria SD dañada. Muy a menudo nos enfrentamos al problema de que un dispositivo de almacenamiento se daña, esta guía seguramente va a responder a todas tus preguntas acerca de este problema. Cuando se nos daña nuestra  memoria USB  o memoria SD, pasamos horas investigando como poder solucionar dicho problema. Este post esta compuesto de varios métodos para ayudarte a reparar tu amada memoria USB o memoria SD dañada. Métodos para reparar memorias USB y memorias SD Cambiar la letra de la unidad A veces, tu equipo no  puede asignar letras de unidad  (C, D, E) para dispositivos de almacenamiento. Debido a esta razón, no se puede acceder a los archivos que contienen. Para resolver este problema, puedes asignar la letra de la unidad en el dispositivo. Los pasos para reparar tu memoria USB o memoria SD dañada mediante la asignación de la letra a la unidad son simple: Conecta los medios de alm
Read more »