Quishing: cómo protegerse frente a las estafas con códigos QR

Se denomina qrishing o también quishing y consiste en el intento de suplantación de identidad o robo de información confidencial a través de la utilización de códigos QR. Esta nueva estafa se ha vuelto popular de un tiempo a esta parte, con miles de intentonas en todo el mundo, lo que ha hecho activar la alarma de expertos en ciberseguridad.

Según apunta la empresa española QRFY, durante el último año la firma ha bloqueado más de 5.000 amenazas en todo el mundo gracias a su herramienta antifraude. Y es que la propia compañía afirma que más del 70% de estafas contemporáneas en la actualidad se ejecutan mediante la técnica del quishing.

¿Qué es el quishing?

Como señalamos, el quishing o qrishing es una técnica de phishing que utiliza la tecnología QR para engañar a posibles víctimas. Tiene en común con el phishing que deriva a páginas web fraudulentas desde las que se obtiene información confidencial de los usuarios. Posteriormente los ciberdelincuentes ya comercializan con esa información a terceros o tratan de sobornar a las víctimas.

Los códigos QR son una tecnología de codificación que lleva muchos años entre nosotros y que todo el mundo utiliza. Destacan por su simpleza y efectividad, además de por su expansión, pero son justo esas propiedades las que han despertado el interés de los estafadores.

Con un código QR podemos leer la carta de un restaurante, acceder a una promoción en internet, consultar las instrucciones de utilización de un electrodoméstico, entrar en una app para instalarla en el móvil o incluso servirnos de esta tecnología como pasarela de pago segura.

Su funcionamiento es sencillo, basta con apuntar con la cámara del dispositivo móvil a un recuadro con cuadros blancos y negros y una app de escaneo leerá ese código. Directamente la app lleva a una página web donde está la información cifrada. Si el código es fraudulento, el enlace web de destino no será el legítimo y es ahí donde los ciberdelincuentes pueden robar la información.

Por lo general estos estafadores diseñan webs con una apariencia similar a la página de destino, para que los usuarios accedan a ella sin sentir sospechas sobre el lugar al que acceden. Y en cuanto al código en sí, existen numerosas apps para crearlos, tanto en Android como en iOS. En algunos casos los sistemas son un poco primitivos, pues basta con colocar una pegatina encima del código QR real, pero en otros están más bien diseñados, con dípticos de publicidad que promocionan a webs como Amazon o AliExpress.

¿Qué problemas derivan del phishing?

Los intentos de estafa con quishing pueden tener tres grandes consecuencias. En primer lugar está el quishing clásico que consiste en aportar información confidencial en páginas de bienvenida o formularios de contacto en esas webs con apariencia real.

Otra opción es que el qrishing lleve a la inclusión en el dispositivo web de un malware o un archivo malicioso en el dispositivo desde el que se ha escaneado el código. A partir de ahí los delincuentes pueden robar información, controlar las cuentas sociales e incluso tener acceso a aplicaciones sensibles como las cuentas bancarias.

Por último, hay ya empresas que están probando la tecnología QR como sistema de pago. En caso de que el qrishing actúe sobre esta vía es posible que ese acercamiento a las cuentas bancarias sea más sensible y la víctima ponga en manos del delincuente sus credenciales para acceder a las entidades financieras.

¿Cómo protegerse frente a los intentos de estafa?

QRFY, la compañía española especializada en la creación de códigos QR, apunta a cinco recomendaciones para evitar los fraudes mediante esta tecnología. Una de ellas es mantener innovación y formación continua. Su herramienta antifraude escanea constantemente las URL de destino y protege el acceso al código QR, lo que le ha llevado a bloquear esas más de 5.000 amenazas en todo el mundo.

Esta medida va de la línea de mantener protegidos los dispositivos móviles en todo momento. Puedes incluir antivirus y otras apps que adviertan de la presencia de malware y otros agentes maliciosos. Para continuar con las medidas puramente tecnológicas, QRFY aconseja utilizar únicamente aplicaciones de escaneo seguras, como las que ya vienen preinstaladas en los móviles actuales.

En caso de tener que descargar una nueva app lo mejor es seleccionar programas que tengan buena reputación y valoraciones suficientes y positivas. También es importante comprobar la fuente a la que dirige el código QR. Para ello la web tienen que ser de confianza, con el candado en la URL y la dirección https. La otra opción es la dirección http, que es mucho menos segura.

Para terminar, y esto ya es una propuesta a nivel particular, hay que desconfiar de las ofertas que son demasiado tentadoras, las que proponen grandes ventajas o promociones muy atractivas por introducir datos personales sin nada más a cambio.

• Temas
• Ciberseguridad