Un término utilizado para describir los ataques que involucran códigos QR es quishing
Los códigos QR se han convertido en una parte integral de nuestra vida cotidiana debido a su simplicidad. Si bien existen desde hace muchos años, su uso se disparó durante la pandemia de COVID-19, cuando las empresas recurrieron a ellos para menús, pagos y check-ins sin contacto.
Si bien los códigos QR son convenientes, también presentan riesgos significativos. En los últimos años, los cibercriminales han recurrido cada vez más a estos códigos como herramienta para llevar a cabo estafas.
Riesgos de seguridad de los códigos QR
El principal problema de los códigos QR es que los usuarios no siempre pueden verificar la fuente antes de escanearlos. Como pueden contener enlaces a sitios web u otros datos, los estafadores pueden ocultar en ellos enlaces peligrosos o malware.
Un término utilizado para describir los ataques de phishing que involucran códigos QR es quishing.
Los ataques de quishing se diferencian de las estafas de phishing tradicionales en la forma en que se envía el enlace malicioso. En lugar de un enlace de texto estándar en un correo electrónico, los atacantes insertan el enlace dentro de un código QR. Cuando un usuario escanea el código, su dispositivo lee la URL insertada y lo dirige al sitio web fraudulento.
Help Net Security escribió recientemente sobre estafadores que han utilizado códigos QR en cartas físicas para distribuir malware para Android.
La manipulación de códigos QR físicos reemplazándolos por otros legítimos en lugares públicos (como mesas de restaurantes, parquímetros, carteles o volantes) es una técnica que ha ido creciendo en los últimos años. El año pasado, el RAC emitió una advertencia a los automovilistas del Reino Unido sobre el fraude en los estacionamientos, en el que se utilizaban pegatinas con códigos QR falsos para engañarlos y hacer que pagaran las tarifas en una página web de phishing, robando así las credenciales de sus tarjetas de pago.
Cómo reconocer y evitar los códigos QR maliciosos
Ten cuidado con los códigos QR en lugares públicos o en el correo: un código QR en un lugar público o uno que llegue por correo podría haber sido colocado por un estafador, así que no escanees nada que parezca fuera de lugar.
Evita ingresar información confidencial: evita sitios a los que se acceda a través de códigos QR que soliciten detalles personales, credenciales de inicio de sesión o información de pago.
Ten cuidado con las manipulaciones: los estafadores suelen colocar etiquetas con códigos QR falsos sobre las reales, especialmente en carteles, menús o quioscos públicos. Si algo parece sospechoso, puede ser una señal de estafa, por lo que es mejor no escanearlo.
Ingresa las URL manualmente: si se supone que un código QR debe llevarte a un sitio web conocido, escribe la URL manualmente en lugar de escanearla.
Utiliza aplicaciones de seguridad para escanear códigos QR: algunas aplicaciones pueden analizar los códigos QR en busca de posibles amenazas y avisan si un código conduce a un sitio web sospechoso.
¿Cómo pueden las empresas proteger los códigos QR?
Ante el aumento de las estafas con códigos QR, las empresas deben tomar medidas proactivas para proteger a sus clientes y la reputación de su marca. A continuación, se indican algunas medidas que pueden implementar:
Utilizar códigos QR dinámicos con fechas de vencimiento: los códigos QR dinámicos se pueden configurar para que expiren después de un tiempo determinado, lo que hace mucho más difícil que los estafadores los exploten.
Implementar acortadores de URL con verificación: algunos servicios de acortamiento de URL ofrecen verificación integrada para garantizar que los enlaces dirijan a los usuarios a sitios web legítimos. Esto agrega una capa adicional de seguridad.
Controlar el uso de códigos QR: al rastrear la actividad de escaneo, las empresas pueden detectar patrones inusuales, como escaneos desde ubicaciones desconocidas u horarios inusuales. Identificarlos de manera temprana puede ayudar a detener el fraude antes de que ocurra.
Agregar marcadores de seguridad a los códigos QR: agregar marcas de agua, logotipos u otras marcas a los códigos QR puede ayudar a los clientes a distinguir los códigos legítimos de los alterados.
Las empresas también pueden mejorar la seguridad mediante el uso de escáneres de códigos QR con funciones de seguridad y verificadores de enlaces basados en la web como VirusTotal para detectar posibles amenazas.
