En la era digital, los ciberdelincuentes han encontrado nuevas formas de engañar a los usuarios y robar su información. Una de las técnicas más recientes es el Quishing (QR Phishing), que aprovecha la confianza que los usuarios tienen en los códigos QR para redirigirlos a sitios maliciosos. Esta amenaza ha tenido un impacto significativo en América Latina, donde el uso de pagos y servicios basados en QR está en auge. Según un estudio del Fondo Monetario Internacional (FMI), se estima que las transacciones interbancarias que involucren códigos QR generarán una derrama económica de 55.6 mil millones de dólares para 2033.

El quishing es una modalidad de phishing que utiliza códigos QR manipulados para redirigir a las víctimas a páginas fraudulentas que roban credenciales, descargan malware automáticamente o realizan transacciones ilegales sin el consentimiento del usuario. A diferencia del phishing tradicional, el cual usa enlaces sospechosos en correos o mensajes, el quishing oculta el destino final dentro de un código QR, lo que lo hace más difícil de ser detectado.

La popularidad de los códigos QR ha crecido debido a su capacidad para facilitar servicios, como realizar pagos digitales o simplificar trámites bancarios, tener acceso a eventos, visualizar menús en restaurantes, y agilizar los procesos de los viajeros en aeropuertos.

En Brasil, México y Argentina, por ejemplo, se han reportado casos en los que los ciberdelincuentes sustituyen códigos QR en comercios o incluso envían facturas falsas. Los atacantes alteran los códigos para redirigir a las víctimas a sitios web diseñados para robar información sensible, como datos personales, credenciales bancarias o acceso a sistemas institucionales. Una vez que el dispositivo está comprometido, pueden realizar diversas acciones maliciosas, desde el robo de identidad hasta el espionaje corporativo.

¿Por qué los ciberdelincuentes usan Quishing?

Entre los principales motivos de los ciberdelincuentes para utilizar esta técnica, se encuentran los siguientes:

  • Fácil distribución: pueden colocarse en anuncios, parquímetros, estaciones de carga, correos electrónicos, redes sociales y hasta en facturas falsas (físicas o virtuales), etc.
  • Difícil detección: los códigos QR, al ser una tecnología relativamente nueva y menos familiar para muchos usuarios, generan una sensación de confianza que los atacantes aprovechan para llevar a cabo sus estafas. A diferencia de los enlaces, que pueden generar cierta desconfianza, los códigos QR parecen inofensivos y fáciles de usar, lo que aumenta la probabilidad de que las víctimas los escaneen sin dudarlo.
  • Fácil personalización: los códigos QA se pueden personalizar fácilmente (formas, imágenes, colores, etc.) para engañar a todo tipo de usuarios, incluyendo empleados específicos dentro de una organización.

¿Cómo protegerse?

Para evitar ser víctima de Quishing, es indispensable tomar en cuenta las siguientes recomendaciones:

  • Verificar el origen del código QR antes de escanearlo.
  • Usar aplicaciones de escaneo seguras que alerten sobre URL sospechosas.
  • No ingresar credenciales o datos bancarios en sitios accedidos por códigos QR sin verificación previa.
  • Activar la autenticación multifactor (MFA) en todas las cuentas críticas.
  • Desconfiar de los códigos QR públicos. Evitar escanear aquellos que se encuentren en lugares públicos, a menos de que se esté seguro de su origen.
  • No escanear códigos que muestren signos de manipulación.
  • Solicitar menú físico en los restaurantes.

Referencias

  • Securelist Kaspersky. “QRishing: La Nueva Modalidad de Phishing con Códigos QR.” https://securelist.com/qrishing-ataques-phishing-qr/
  • ESET Latinoamérica. “Fraudes con Códigos QR: Cómo Protegerse.” https://www.welivesecurity.com/la-es/2023/07/18/fraudes-codigos-qr-como-protegerse/
  • Cybercrime Magazine. “The Rise of QR Code-Based Phishing Attacks.” https://cybersecurityventures.com/qr-code-phishing-attacks-2024/
  • Cybercriminals Tampering with QR Codes to Steal Victim Funds“ https://www.ic3.gov/PSA/2022/PSA220118