Tecnologías en palabras simples

Quishing: Cómo Evitar Ataques de Phishing a través de Códigos QR

Imagen destacada: Ataques de quishing (phishing de códigos QR)

Los códigos QR se han vuelto esenciales en nuestras interacciones con personas y productos. Un escaneo rápido desde tu teléfono es todo lo que se necesita para intercambiar información de contacto, acceder a lugares y comprar productos en línea. Sin embargo, su uso generalizado ha atraído a criminales cibernéticos que ahora encuentran fácil crear códigos QR falsos y maliciosos, lo que ha llevado a una nueva amenaza de phishing conocida como “quishing”. Aquí está nuestro asesoramiento sobre los ataques de quishing con algunos consejos prácticos para protegerte.

¿Qué es el Quishing?

El quishing, también conocido como phishing de código QR, es una amenaza cibernética que aprovecha la conveniencia y popularidad de los códigos QR. Los criminales cibernéticos utilizan códigos QR falsos para engañar a las personas para que visiten sitios web falsos. Luego pueden intentar acceder a tu información personal como detalles de inicio de sesión y contraseñas, instalar malware en tu dispositivo o robar tu información financiera.

Según Egress, entre el 1 de enero y el 31 de agosto de 2024, al menos el 12% de los ataques de phishing involucraron códigos QR, un aumento drástico de solo el 0.8% en 2021. Este aumento significativo en el quishing es un testimonio de la creciente ubicuidad de la tecnología QR. Además, kits de phishing en la dark web, como “FishXProxy”, utilizan códigos QR como una opción popular para ataques de toma de cuentas (ATO).

Escanear códigos QR maliciosos puede llevar a amenazas de seguridad, incluida la procedente de la dark web.

El problema es que llevar a cabo un ataque de quishing es relativamente fácil, ya que cualquiera puede generar un código QR. Estos códigos pueden ser colocados virtualmente en cualquier lugar: en volantes, carteles, camisetas, mochilas y a través de herramientas de phishing convencionales como correos electrónicos y redes sociales. La mayoría de las personas ven los códigos QR como inofensivos. Estás en riesgo solo cuando visites los sitios web falsificados vinculados a estos códigos.

¿Cómo Funciona el Phishing QR?

El phishing QR capitaliza el uso generalizado de teléfonos inteligentes y códigos QR. Incluso las computadoras portátiles pueden escanear estos códigos. Los atacantes solo necesitan crear un código QR que parezca legítimo y que dirija a un sitio web malicioso o a archivos de malware.

Crear un código QR con una intención maliciosa es la parte fácil. El desafío radica en persuadir a las personas para que escaneen esas imágenes. Aquí es donde entra en juego la ingeniería social. Los atacantes pueden usar diversas tácticas de suplantación, prometer recompensas o crear un sentido de urgencia. Como resultado, han surgido numerosos tipos de ataques de quishing. Los más comunes incluyen:

1. QRLJacking

Esta es la forma más sencilla, pero difícil de detectar, de un ataque de quishing. Los criminales cibernéticos crean un código QR vinculado a un sitio web que imita de cerca una aplicación legítima que requiere acceso mediante código QR. Esto podría ser para aplicaciones como WhatsApp, Discord, TikTok o incluso tu sitio bancario.

QRLjacking que conduce a un sitio web de réplica de WhatsApp falso.

La mayoría de nosotros no inspeccionamos los módulos de datos en blanco y negro que codifican un sitio web real, lo que facilita ser engañados y entregar información de inicio de sesión. Luego, los atacantes suben tu inicio de sesión reciente a un servidor de phishing, dándoles una oportunidad remota de tomar el control de tu sesión más adelante. Afortunadamente, habilitar la autenticación de dos factores hace que los ataques de QRLJacking sean casi imposibles de ejecutar. Muchos sitios web monitorean intentos de inicio de sesión sospechosos y te alertarán a tiempo.

2. Phishing QR de Texto Plano

En un intento de phishing mediante código QR de texto plano, los atacantes incrustan códigos QR dañinos dentro de correos electrónicos, SMS y chats en redes sociales. Lo peor es que estos códigos pueden parecer venir de contactos de confianza, ya que los atacantes pueden haber obtenido acceso a sus cuentas.

Phishing por código QR de texto plano insertado en un correo electrónico que conduce a una cuenta falsa de Amazon.

El modus operandi es sencillo: los atacantes pueden prometer una recompensa lucrativa, aunque muchos usuarios ahora son cautelosos ante tales tácticas. Alternativamente, podrían afirmar que ha habido intentos sospechosos de inicio de sesión en un sitio como Amazon. En realidad, los atacantes están tratando de capturar tu información de inicio de sesión a través del código QR.

3. Formjacking

El formjacking es un método común utilizado para robar información financiera, como detalles de tarjetas de crédito, al atraer a los usuarios a sitios web desprevenidos. Los usuarios pueden enviar directamente su información de pago, que luego es robada usando un script malicioso en la página.

Alternativamente, pueden ser solicitan que completen un formulario, a menudo disfrazado como una encuesta con recompensas prometidas, para recopilar respuestas a preguntas de seguridad como fecha de nacimiento, lugar de nacimiento, nombre de la madre y otros detalles personales.

Posibles amenazas de formjacking visibles en una pantalla grande.

Este tipo de amenaza cibernética había estado en declive, ya que la mayoría de los usuarios se han vuelto cautelosos ante sitios de formularios maliciosos. Sin embargo, la reciente popularidad de los códigos QR ha otorgado un sentido de legitimidad a estos sitios, reviviendo la amenaza del formjacking.

4. Otros Tipos de Intentos de Phishing QR

Existen varios otros tipos de intentos de phishing QR que podrías encontrar inesperadamente. Es esencial mantenerse vigilante y consciente de estos métodos.

  • Phishing QR de Malware: estos códigos QR te dirigen a sitios web cargados de malware o inician la descarga de troyanos o rootkits maliciosos. El objetivo es obtener acceso no autorizado a los recursos de tu sistema. Usar software antivirus con características como un firewall, protección de correo electrónico y web, y defensa contra phishing puede ayudar a salvaguardar contra estas amenazas.
  • Phishing QR Cripto: estas herramientas están ampliamente disponibles en la dark web. Atraen a usuarios desprevenidos a visitar sitios web aparentemente inofensivos, que luego inyectan scripts maliciosos que permanecen indetectados. Los scripts explotan el sistema objetivo para minar criptomonedas sin el consentimiento del usuario. En consecuencia, el usuario puede experimentar días de rendimiento lento de la PC, reinicios frecuentes y otros problemas de rendimiento.
  • Phishing QR Basado en Macros: aunque hoy en día es relativamente raro, el viejo truco de incrustar macros en documentos de Excel, Word o PDF para instalar malware o robar información ahora tiene un giro de código QR. Sin embargo, tales archivos deberían ser bloqueados automáticamente en dispositivos con software antivirus actualizado o teléfonos inteligentes actualizados.

¿Por Qué es Tan Fácil Caer Víctima de un Ataque de Quishing?

Está claro que caer víctima de un intento de phishing de código QR es relativamente común. Aquí hay algunas razones por las que los estafadores utilizan con éxito esta herramienta engañosa, y por qué debes volverte más vigilante acerca de estas amenazas.

  • Confianza implícita en los códigos QR: el escaneo de códigos QR es una tecnología relativamente nueva y de moda, y muchos usuarios confían inherentemente en ella debido a la falta de conciencia sobre amenazas potenciales. Es importante recordar que los códigos QR representaron casi el 12% de todos los intentos de phishing. Confiar ciegamente en los códigos QR es cosa del pasado.
  • La suplantación de marcas es fácil: es fácil suplantar marcas populares como Telegram, WhatsApp, TikTok, Amazon y muchas otras. La mayoría de los usuarios no verifica si una URL es legítima. Por ejemplo, un sitio como “AmazonAws.com” puede sonar confiable, pero en realidad es un sitio web malicioso sin conexión con Amazon o Azure. Esto da a los estafadores una ventaja en ciertas situaciones.
  • Enlaces invisibles: la mayoría de los usuarios son cautelosos al visitar URL acortadas y enlaces desconocidos. Sin embargo, con un código QR, estos enlaces están ocultos detrás de una imagen que parece legítima. Esto otorga un sentido de credibilidad injustificada a enlaces que no deberían ser visitados en primer lugar.

Cómo Evitar un Ataque de Quishing

Los códigos QR son omnipresentes, apareciendo en cartelones, sobres sellados, ropa, accesorios y en toda la web y redes sociales. Aunque solo una pequeña fracción de estos códigos puede contener enlaces maliciosos, puede parecer que convertirse en víctima es inevitable. Pero no tiene que ser así. Al tomar las siguientes precauciones, puedes mantenerte a salvo de ataques de quishing.

  • Usa solo fuentes confiables: si estás utilizando un código QR exhibido de manera prominente en un restaurante, centro comercial o lugar de concierto, es probable que sea legítimo. Es evidente que estos códigos QR están destinados para un uso público amplio. En contraste, los códigos QR recibidos a través de correos electrónicos, redes sociales y enlaces web aleatorios requieren más verificación.
  • Evita códigos QR aleatorios: podrías encontrarte con códigos QR aleatorios en volantes, empaques y otros lugares que no añaden mucho valor a tu trabajo. Evita escanear estos códigos.
  • Antes de hacer clic, previsualiza el código QR: casi todas las aplicaciones de escaneo de QR te permiten previsualizar el código QR antes de hacer clic. Si el enlace parece sospechoso, resiste la tentación.
  • Habilita la autenticación de dos factores: el uso de la autenticación de dos factores es una gran protección contra los intentos de quishing en aplicaciones y sitios web populares.
  • Conciencia constante: a medida que los engaños de phishing por código QR emergen como una amenaza de seguridad significativa, mantenerse actualizado con las últimas noticias de ciberseguridad puede proporcionar información valiosa sobre nuevas variantes de amenazas.

En esta guía, vimos qué es el quishing y cómo puedes protegerte de un ataque de quishing. Es solo una forma de ataques de phishing: hay muchos más, como aquellos que apuntan a compradores del Black Friday. También debes tener cuidado con las estafas del día de Amazon Prime.

Crédito de imagen: DALL-E 3. Todas las fotos y capturas de pantalla por Sayak Boral.

Contenido

  1. ¿Qué es el Quishing?
  2. ¿Cómo Funciona el Phishing QR?
  3. 1. **QRLJacking**
  4. 2. Phishing QR de Texto Plano
  5. 3. Formjacking
  6. 4. Otros Tipos de Intentos de Phishing QR
  7. ¿Por Qué es Tan Fácil Caer Víctima de un Ataque de Quishing?
  8. Cómo Evitar un Ataque de Quishing
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11