¿Qué es QRishing y características son los peligros de esta nueva estafa con el código QR? | tecnología

Una nueva técnica de phishing dirigida a los códigos QR ha demostrado su popularidad tras el auge que han tenido estos y que ya vemos en muchos lugares. Se conoce como Qrising y te explicamos en qué consiste.

Con la gran fama y uso que está ganando poco a poco el codigo qr, que cada vez vemos más a menudo en cartas de restaurante, alquiler de patinetes eléctricos o lecturas de pdf, parece más que lógico que consigo también lleguen los problemas de nuevos hackeos y robo de datos privados.

Para contextualizar, los códigos QR son esos imágenes cuadradas con una serie de códigos en blanco y negro que vemos en periódicos, cartas de restaurantes, folletos, Internet…etc. y que al escanearlos nos redirigen a un sitio web, guarda contactos o abre aplicaciones. Normalmente, un código QR almacena una URL y otra información relacionada.

Tan solo grabamos ese código QR que apareció a modo de publicidad en las televisiones americanas durante un minuto en la Super Bowl de 2022 que simplemente redirigía a los usuarios a la web oficial de Coinbase, quien pagó 16 millones de dólares.

Todos, sin miramiento alguno lo escaneó, haciendo caer la web inmediatamente. ¿Qué hubiera pasado si alguien hubiera hackeado ese código con intenciones maliciosas?

Pues bien, la próxima vez que veas un código QR y tengas la tentación de escanearlo, se precavido. Y es que, a estas alturas, todos hemos oído hablar, hemos conocido a alguien que se ha visto afectado o nos hemos visto afectados por un intento de phishing o algunas de sus versiones.

Pero por si esto no fuera suficiente para preocuparse, ahora tenemos un nuevo actor en la historia, el QRishing, también conocido como quishing, que afecta a quienes leen con su smartphone uno de estos códigos.

¿Qué es QRishing?

El QRishing es la forma sencilla que tienen algunas personas de aprovechar un código QR para robar información privadainstalar software malicioso en un dispositivo o dirigir a una persona a un sitio web no seguro con bastantes malas intenciones. El QRishing se traduce a lo que ya todos conocemos como Phishing pero con el uso de los códigos QR.

Por ejemplo, el atacante puede dejar panfletos en una parada de autobús, en mesas de restaurantes o incluso por correo electrónico. Cuando una persona escanee el código QR con su teléfono móvil, pensando que se trata de algo interesante que consultar o un menú, se muestra una URL, una imagen o un mapa con instrucciones para llegar a un lugar, entre otras cosas.

A partir de aquí, los estafadores ya dependen de sus capacidades tecnológicas para engañar a las víctimas para que compartan datos delicados. El truco es que estos saben a la perfección qué técnicas usar para llamar tu atención y que caigas.

Y es que, a diferencia de los hipervínculos, al pasar por encima de un código QR no se muestra la URL de destino, por lo que, por ejemplo, es fácil para un estafador decirle a una víctima potencial que escanee un código QR para tener la oportunidad de ganar algopor ejemplo.

aliexpress

Guía para comprar en AliExpress en 2022: encuentra las mejores ofertas y evita estafas y malas experiencias

¿Cómo funciona esta nueva estafa y con qué finalidad?

No hace falta ni decir que no todo el mundo escanearía un código QR al azar sin un incentivo o una razón para ello. Es por esto que los ciberdelincuentes suelen encontrar formas llamativas de despertar el interés de la gente. Y es que, la razón para creer en la autenticidad del código es el lugar donde se ha colocado.

Estos suelen actuar tomando, por ejemplo, un folleto aparentemente fiable como puede ser el de una institución o empresa y cambiar el código QR pero manteniendo todo tipo de detalles y diseño que hacen que parezca real. El objetivo de estos ataques puede ir desde el robo de información personal hasta la publicidad o el fraude económico.

estafas en airbnb

Cómo evitar estafas en Airbnb: los 5 engaños más comunes

También utilizan el envío masivo de mensajes vía WhatsApp con código que saben que van a ser compartidos o los correos electrónicos.

Este último caso suele formar parte de los métodos ya conocidos de phishing por correo electrónico. A diferencia de los hipervínculos cortados que ya hemos visto, al pasar tu por encima de un código QR no se muestra la URL de destino, por lo que, por ejemplo, es fácil para un estafador revelar a una víctima potencial de teléfono que lo escanee por el motivo que sea.

Por ejemplo, los atacantes suelen ofrecer descuentos en amazonu otras empresas muy reconocidas a quienes escanean los códigos QR proporcionados. Este tipo de estafa no se basa en la curiosidad o la necesidad de obtener información, sino en esa búsqueda de ahorro.

Cómo evitar el QRishing

Escanear y leer un código QR requiere principalmente dos cosas: una cámara y un navegador para adentrarse a la información del código QR. Al ser tan simple, significa que también es sencillo evitar ser víctima.

Por un lado, se recomienda echar un vistazo a dónde está insertado ese código QR, ¿por qué?, básicamente porque muchos vienen en algun tipo de funda de plastico o cristal sobre la que se inserta el codigo falso, como puedes ver en la imagen de mas abajo.

Los especialistas afirman que los atacantes pueden sustituir los códigos QR de empresas de renombre colocando una pegatina encima de sus carteles o sustituyendo carteles o folletos enteros por sus propias reimpresiones.

Por otro lado, al igual que ocurre con otros tipos de estafas online, evita abrir una URL que esté cortada, así que si es así, es mejor evitarlas. En relación a este aspecto ten cuidado también antes de introducir tus credenciales. Asegúrese de que la dirección web, si no está cortada, empiece por ‘https://’.

Lógicamente uno de los grandes consejos es el de mantener siempre actualizado el software de tu dispositivo. Ya se sabe que los piratas informáticos pueden aprovechar las vulnerabilidades del software de tus aplicaciones o del sistema operativo de tu sin que lo sepas.

Ciberseguridad

5 cursos online de seguridad informática que te abrirán nuevas oportunidades de trabajo

Por supuesto, no metas tus credenciales en ninguna URL que te lo pida. Estos suelen estar insertados para aportar información, por lo que, si no estás 100 %, evita meter contraseñas, correos, nombres…etc.

Con todo esto y ya sabiendo que esta estafa existe, mantente escéptico con cualquier código QR que veas, que te llegue vía WhatsApp o por correo y sobre todo por la calle o en lugares públicos. Esta forma de phishing es relativamente nueva, y no mucha gente la conoce, lo que significa que cualquiera puede caer fácilmente en ella.

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *