• Quishing -
    el peligro invisible detrás de los códigos QR

Los códigos QR se han convertido en parte de la vida cotidiana, ya sea en restaurantes, en carteles o para iniciar sesión. Los ciberdelincuentes explotan la ubicuidad de los códigos QR para los llamados ataques de quishing. Esta es una forma específica de phishing en la que los códigos QR fraudulentos llevan a los usuarios a sitios web falsos o instalan malware en sus dispositivos.

Mission Security

Puntos clave:

A person scans a QR code on a paper document using their smartphone

El quishing es una forma peligrosa de phishing en la que los delincuentes utilizan códigos QR maliciosos para propagar malware o redirigir a sitios web falsos.

A person holds their smartphone up to a display on a machine

El enlace incrustado en un código QR no es visible inmediatamente; muchos usuarios confían en la vista previa que se muestra después de escanear y lo abren sin verificar completamente el enlace.

A person scans a QR code on a table at a restaurant

Al revisar cuidadosamente la URL completa, evitar códigos sospechosos y mantener el software actualizado, puedes reducir significativamente el riesgo de ser víctima de ataques exitosos de quishing.

¿Cómo funciona el quishing?

El quishing se basa en el hecho de que el contenido de un código QR, generalmente una dirección de internet, no es directamente visible. Los delincuentes colocan estos códigos QR digitalmente (por ejemplo, en correos electrónicos) o físicamente en pegatinas, carteles y objetos cotidianos. Escanear estos códigos sin precaución puede llevar a sitios web falsos o a la descarga de malware sin que el usuario se dé cuenta.

¿Por qué es tan peligroso el quishing?

El quishing se dirige a los hábitos humanos y a las vulnerabilidades técnicas. Aquí te explicamos por qué esta estafa es particularmente insidiosa:

icon

Confianza asumida al escanear:

Los códigos QR a menudo se escanean sin cuestionar la fuente o el destino, un hábito arriesgado.

icon

Elusión de filtros de seguridad:

Mientras que los enlaces de phishing tradicionales en los correos electrónicos suelen ser detectados por los filtros de spam, los códigos QR incrustados en los correos electrónicos suelen interpretarse como imágenes inofensivas.

icon

Amenaza invisible:

El código QR contiene una dirección de internet que no es visible a simple vista. Si se abre automáticamente o sin una inspección adecuada, puede llevar a una infección inmediata de malware.

icon

Apertura automática de enlaces:

Algunas aplicaciones de cámara o escáner QR abren automáticamente los enlaces incrustados, lo que facilita la instalación de malware sin ser detectado.

icon

Uso generalizado:

Los códigos QR maliciosos aparecen no solo en correos electrónicos y cartas fraudulentas, sino también en parquímetros, estaciones de carga, embalajes, folletos y boletos de lotería falsos.

Cómo identificar códigos QR fraudulentos

Muchos ataques de quishing pueden detectarse a tiempo con atención y precaución. Ten en cuenta lo siguiente:

  • Ubicación prominente o inusual: Los delincuentes colocan códigos QR en lugares llamativos, como sobre códigos legítimos en estaciones de carga o en boletos de estacionamiento falsos. Busca señales de manipulación como marcas adhesivas.
  • URLs acortadas u oscurecidas: Los escáneres modernos a menudo muestran solo una versión acortada del enlace. Comprueba si hay una opción para ver la dirección de internet completa y verificar el destino.
  • Solicitudes de entrada de datos: Si al escanear un código QR se te solicita información de inicio de sesión o de pago, mantente alerta. Los proveedores legítimos nunca solicitan dichos datos sin una autenticación previa.

Medidas de protección contra el quishing

Protegerse del quishing no requiere pasos complejos, solo conciencia y responsabilidad digital:

  • Escanea solo códigos QR de confianza: Escanea solo códigos de fuentes claramente confiables, como aplicaciones oficiales, materiales impresos de marcas conocidas o sitios web de empresas.
  • Utiliza aplicaciones de escaneo seguras: Utiliza la aplicación de cámara nativa de tu dispositivo y familiarízate con sus funciones de escaneo de QR. Las aplicaciones de terceros gratuitas pueden tener fallos de seguridad.
  • Nunca compartas datos sensibles: El código QR nunca debe ser el punto de entrada para compartir credenciales de inicio de sesión, datos bancarios o información personal. Utiliza sitios web o aplicaciones oficiales en su lugar o contacta al remitente a través de una dirección o número de teléfono conocidos.
  • Mantén actualizado el sistema operativo de tu smartphone: Las actualizaciones regulares del sistema operativo cierran las brechas de seguridad conocidas y ofrecen una mejor protección contra nuevos métodos de ataque como el quishing.

Qué hacer si sospechas un ataque

Actúa rápidamente si crees que has sido redirigido a un sitio falso o si se ha instalado malware:

  • Ejecuta un análisis antivirus: Utiliza software de seguridad actualizado para verificar amenazas en tu dispositivo.
  • Cambia las contraseñas: Actualiza inmediatamente tus credenciales si sospechas que han sido comprometidas, especialmente si las introdujiste en un sitio sospechoso.
  • Denuncia a las autoridades: Notifica a la policía o a una agencia de protección al consumidor sobre códigos QR o sitios web sospechosos para ayudar a proteger a otros.

Conclusión – prevención del quishing

El quishing es una forma sofisticada de phishing que utiliza códigos QR maliciosos para redirigir a los usuarios a sitios web falsos o instalar malware. Estos ataques son especialmente peligrosos porque son fáciles de ejecutar y muchas personas confían en los códigos QR. Pero con vigilancia, algunos conocimientos básicos y la voluntad de cuestionar las indicaciones sospechosas, puedes protegerte eficazmente.

Preguntas frecuentes sobre el quishing

Show content of ¿Cómo crean los delincuentes códigos QR falsos?

Los ciberdelincuentes suelen generar códigos QR ellos mismos utilizando herramientas gratuitas. Los colocan en correos electrónicos, pegatinas, carteles y sitios web falsos, a menudo disfrazados de ofertas o solicitudes legítimas, incluso de autoridades.

Show content of ¿Cómo puedo reconocer un código QR malicioso?

Comprueba si un código QR legítimo ha sido cubierto por otro, especialmente en estaciones de carga o parquímetros. Ten cuidado con los tickets de aparcamiento o las cartas de empresas conocidas que incluyen códigos QR, podrían ser estafas. Si el enlace es vago o inusualmente corto y solicita datos sensibles, no lo escanees.

Show content of ¿Por qué el quishing es especialmente peligroso?

Porque el enlace en un código QR no es visible antes de escanearlo. Incluso hacer clic en la vista previa puede activar un ataque de malware sin que te des cuenta. Las aplicaciones de escáner que abren enlaces automáticamente son particularmente riesgosas.

Sigue explorando temas relacionados como…

Phishing

More Phishing

Two people shake hands while one person crosses their fingers behind their back

More Ingeniería social

Woman with a shocked expression on her face clutches her heart with her hand while holding a phone to her ear.

Vishing Vishing