En la actualidad es habitual encontrar códigos QR en diversos establecimientos, desde restaurantes, donde se usan para consultar el menú, hasta tiendas que los emplean para dirigir a los clientes a sus páginas web. Recordemos que esta tecnología ganó popularidad durante la pandemia del covid-19, ya que facilitaba la minimización del contacto físico. No obstante, el auge de los códigos QR también ha abierto la puerta a un tipo de fraude cibernético conocido como quishing.
Primero, es importante entender qué es un código QR. Las siglas QR provienen del inglés ‘Quick Response’, que se traduce como ‘Respuesta Rápida’. Según explica Kaspersky en su blog, el código QR es una evolución del código de barras tradicional, que está diseñado para almacenar información digitalizada que puede ser leída rápidamente mediante un lector QR.
Los códigos QR, en comparación con los códigos de barras tradicionales, pueden almacenar más datos, son menos propensos a errores y se leen fácilmente desde dispositivos como los smartphones.
MIRA: Boston Dynamics resucita a su robot Atlas en una nueva versión eléctrica e impulsada por IA
Y a pesar de sus ventajas y su amplia adopción en diversas industrias, estos códigos también han sido explotados por actores maliciosos para cometer ciberestafas. A continuación, El Comercio conversó con Fabiana Ramírez Cuenca, especialista en seguridad informática de ESET Latinoamérica, para explorar esta modalidad de fraude conocida como quishing.
Qué es el quishing
La especialista explica que el término “quishing” se deriva de la combinación de las palabras “QR” y “phishing”, debido a las similitudes entre ambas formas de estafa. Mientras que el phishing tradicionalmente engaña a las víctimas para robar sus datos personales a través de enlaces directos enviados por correo electrónico o mensajes, el quishing emplea códigos QR para el mismo propósito. “En lugar de recibir un enlace directo (...), los cibercriminales utilizan códigos QR”, sostiene. Estos códigos, al ser escaneados, pueden redirigir a los usuarios a páginas web fraudulentas o incluso descargar software malicioso en los dispositivos de las víctimas.
En el caso de las páginas web a las que redirige el quishing, estas suelen imitar a sitios legítimos, solicitando a los usuarios que ingresen datos personales como nombres de usuario, contraseñas, números de tarjeta de crédito o información bancaria. El objetivo de estos delincuentes es utilizar la información robada para realizar actos ilícitos como transacciones financieras no autorizadas o robo de identidad.
Ahora bien, la principal diferencia entre el quishing y phishing es que con el código QR no podemos ver el enlace al cual nos redirecciona. “Nos perdemos la oportunidad de examinar bien cuál es el link. Justamente la finalidad del QR es no pasar por esta etapa, por lo que es una manera de ocultar mejor el objetivo del cibercriminal”, agrega la experta. Y es que una de las señales de alerta frente a una amenaza cibernética suele ser el contenido sospechoso de la dirección web.
MIRA: Un falso CEO en WhatsApp: cómo un empleado de LastPass descubrió una estafa de deepfake
¿Dónde suelen ser distribuidos? Ramírez explica que los códigos QR fraudulentos pueden encontrarse en una variedad de contextos, tanto digitales como físicos:
- En lugares públicos como carteles, folletos o tarjetas de visita.
- En páginas web legítimas a través de anuncios maliciosos.
- Por correo electrónico o mensajes, a menudo disfrazados como comunicaciones legítimas de empresas conocidas.
Casos de quishing
Ahora revisemos algunos casos que ilustran cómo opera esta modalidad de estafa.
En febrero de este año, un usuario reportó a través de X que recibió un correo postal con el logo de Amazon. El correo ofrecía instrucciones para reclamar un cupón de descuento, instando al usuario a escanear un código QR adjunto. Este QR llevaba a una página aparentemente legítima de la plataforma de comercio electrónico, donde se solicitaba iniciar sesión para introducir el código proporcionado por los estafadores y así obtener el supuesto premio.
Sin embargo, se trataba de una ciberestafa. La página web no era el dominio real de Amazon, por lo que en caso de ingresar sus datos, el usuario habría entregando sus credenciales a los cibercriminales.
POSTCARD SCAM!!!
— D (@newmediaguynyc) February 16, 2024
BIG TIME AMAZON SCAM!!!!!
Pass it on to EVERYBODY!
DO NOT USE THE QR CODE ON THIS POSTCARD! pic.twitter.com/AFbwZWA0ps
Como informa Genbeta, otro caso ocurrió cuando un usuario creyó que estaba pagando la tarifa de estacionamiento. Él escaneó un código QR adherido al suelo del aparcamiento e ingresó la información requerida en la página a la que fue redirigido. Sin embargo, tras completar el proceso, descubrió con sorpresa que 16.000 dólares habían desaparecido de su cuenta bancaria.
En otro incidente, un ciudadano de Singapur utilizó una aplicación de terceros para escanear un código QR en una máquina de reciclaje. Él fue redirigido a una página web que ofrecía créditos a cambio de reciclar. Y para recibirlos, la página solicitó la información de su tarjeta de crédito. Sin embargo, el ciudadano no recibió ninguna recompensa, pero sí notó un descuento no autorizado de 40 dólares en su tarjeta, una cantidad considerablemente menor en comparación con el caso anterior.
Como explica la experta Fabiana Ramírez, en el quishing, los cibercriminales ocultan en los códigos QR “direcciones web que conducen a sitios falsos, descargas de aplicaciones no confiables, archivos maliciosos o páginas donde se solicita información personal”.
Un grupo de investigadores de Check Point Research, perteneciente a la empresa de ciberseguridad Check Point, emitió una advertencia sobre el aumento del 587 por ciento en los ataques de quishing que se observó entre agosto y septiembre de 2023.
Cómo evitar caer en el quishing
Para evitar caer en la trampa del quishing, es fundamental adoptar algunas medidas de seguridad y seguir prácticas recomendadas por la experta en ciberseguridad de ESET:
- Usa un escáner de códigos QR con funcionalidades de seguridad: opta por aplicaciones de escaneo de QR que tengan la capacidad de detectar redirecciones maliciosas.
- Instala y mantén actualizado un software antivirus: aunque un antivirus no siempre puede analizar directamente un código QR, sí puede detectar y detener descargas maliciosas o accesos a enlaces peligrosos después de escanear un QR.
- Revisa de dónde viene el código QR: antes de escanear un código QR, piensa en su origen. Si lo recibiste por un correo sospechoso o de alguien desconocido, ya que podría ser una trampa.
- Mira detenidamente la URL: después de escanear el código QR, puede que veas una dirección web. Tómate un momento para revisarla antes de hacer clic. Asegúrate de que se vea normal y no contenga elementos raros.
- Infórmate y sé consciente: Conocer más sobre cómo operan los estafadores te ayudará a detectar estafas. Aprender a identificar señales de alerta en correos electrónicos y enlaces puede prevenir problemas.
Sobre este último punto la experta de ESET profundiza que algunas de las señales de alerta que el usuario debe notar tiene que ver con revisar la procedencia del código QR. Por ejemplo, si un código te llega por WhatsApp o mensaje de texto, y te ofrece promociones o te pide hacer clic por alguna razón urgente, debes tener cuidado.