Quishing: ¿cómo funciona esta nueva modalidad de robo a través de códigos QR?
Las representaciones binarias son utilizadas en la actualidad para compartir información o para realizar transacciones. Sin embargo, en el último tiempo han surgido códigos falsos para engañar y robar información sensible.
Juan Carlos Becerra
A medida que la tecnología evoluciona, también lo hacen las amenazas, con ciberdelincuentes que aprovechan las vulnerabilidades emergentes para ejecutar los ataques cada vez más sofisticados. Este escenario plantea desafíos no menores tanto para las empresas como para los usuarios, quienes deben adaptarse y fortalecer sus defensas ante un panorama de ciberseguridad en constante cambio.
Los códigos QR cada vez son más comunes en la cotidianidad para compartir información o con el fin de realizar transacciones en algunos establecimientos comerciales. Desafortunadamente, los ciberdelincuentes han encontrado una manera de explotarlos para sus propios fines y ejecutar estafas o robar información.
Esta práctica se conoce como “Quishing”, una variante del phishing con la característica Q de los códigos. Al igual que el phishing tradicional, en el que los ciberdelincuentes envían correos electrónicos fraudulentos para obtener datos personales mediante QR maliciosos.
De acuerdo con Pablo García, Gerente de Ciberseguridad de TIVIT Colombia, empresa multinacional tecnológica, los primeros ataques bajo esta modalidad se registraron entre 2021 y 2022, y desde entonces cada vez son más frecuentes y efectivos.
¿Cómo funciona el Quishing a través de códigos QR?
García explicó que los ciberatacantes operan siguiendo estos pasos:
- Creación de Códigos QR Maliciosos: Los atacantes generan códigos QR que redirigen a sitios web falsos diseñados para parecer legítimos.
- Distribución de los Códigos QR: Estos códigos pueden ser impresos y pegados en lugares públicos, enviados por correo electrónico, o incluso integrados en publicidad online.
- Engaño al Usuario: Cuando el usuario escanea el código QR, es direccionado a un sitio web que solicita información personal, como nombres de usuario, contraseñas, o detalles de tarjetas de crédito.
- Robo de Datos: Una vez que el usuario ingresa sus datos, los atacantes los capturan y pueden utilizarlos para cometer fraudes financieros, robo de identidad, o vender la información en mercados clandestinos.
Un estudio de Kaspersky reveló que en 2023 se registraron 2,4 millones de intentos de phishing en el país, con un promedio de cuatro ataques por minuto, lo que posiciona a Colombia como el cuarto país más afectado en la región.
A lo anterior, se le suma el auge de los códigos QR que ha crecido significativamente en el país después de la pandemia. Según Asobancaria, la infraestructura para pagos por QR se multiplicó por cuatro entre 2018 y 2021, lo que impulsó la inclusión financiera y el uso de tecnologías que, aunque son convenientes, también abren la puerta a amenazas como el quishing.
García comentó que en Colombia existen diversos factores que están contribuyendo al crecimiento de esta modalidad delictiva. “Lo primero es el aumento de uso de códigos QR. Lo segundo es la baja conciencia de riesgo, la falta de educación y la poca concientización en temas de ciberseguridad. Por último, la alta penetración de nuevas tecnologías digitales que han creado nuevas oportunidades para los cibercriminales”.
La educación es un factor clave que debe ser fomentada en el país en cuestiones de ciberseguridad. De acuerdo con el gerente TIVIT Colombia, es fundamental promover un enfoque integral que combine la tecnología y la educación. “Por un lado, los sistemas de seguridad de las empresas son clave para ayudar a detectar y bloquear ataques de quishing antes de que lleguen al usuario final. Sin embargo, no son infalibles, por lo cual la educación es clave para que los usuarios sean conscientes de los riesgos y sepan cómo identificar y evitar los ataques”.
Por esa razón, la educación digital y de ciberseguridad debe comenzar con la concientización de las personas para que tengan claro que existen amenazas, especialmente con los códigos QR que están en auge. Del mismo modo, las instituciones educativas y empresas deben promover los siguientes consejos para crear un ambiente digital más seguro.
Recomendaciones para evitar caer en Quishing
Asimismo, el experto de TIVIT, ofrece las siguientes recomendaciones para protegerse contra esta amenaza:
- Verificación de Origen: Antes de escanear un código QR, es clave asegurarse de que proviene de una fuente confiable. Mejor evitar escanear códigos en lugares públicos no verificados.
- Uso de Aplicaciones de Seguridad: Utilizar aplicaciones que escaneen los códigos QR y muestren la URL antes de redirigir. Esto permite verificar si el sitio es seguro.
- Educación y Conciencia: Mantenerse informado sobre las últimas amenazas en ciberseguridad y educar a cercanos y familiares sobre los riesgos del quishing.
- Verificación de URL: Si un código QR redirige a un sitio web, lo mejor es comprobar que la URL sea la correcta. Prestar atención a errores ortográficos o dominios sospechosos.
- Precaución con la Información Personal: No ingresar información sensible en sitios web a los que se accedan a través de códigos QR sin revisar previamente la autenticidad.
Del mismo modo, García ejemplificó los peligros con algunas situaciones comunes que han detectado y que tienen un índice considerable de efectividad. Algunos ejemplos son:
- Correos electrónicos de marketing falsos: envían correos que parecen promociones legítimas, pero contienen códigos QR que redirigen a sitios fraudulentos para robar credenciales.
- Correos electrónicos de logística falsos: a través de comunicaciones de logística falsas con códigos QR que dirigen a plataformas fraudulentas, con el objetivo de robar credenciales o instalar malware.
- Estafas de soporte técnico: Las víctimas reciben mensajes falsos de soporte técnico con códigos QR que los llevan a sitios web maliciosos para robar información sensible.
- Campañas de Donación Falsas: Los delincuentes crean campañas de donación falsas con códigos QR que redirigen a páginas engañosas para robar datos de pago.
De acuerdo con García, el quishing es uno de los ciberataques más comentados, y por una buena razón. Puede adoptar muchas formas, ya que evoluciona constantemente e introduce nuevas maneras de engañar a los usuarios utilizando su mayor debilidad: su naturaleza humana. Por eso, las organizaciones y los usuarios deben adoptar soluciones de seguridad con capacidades contra el phishing, como la autenticación multifactor, filtros de correo electrónicos, navegadores seguros, entre otras más.
“Se espera que el quishing se vuelva más sofisticado, con variantes como códigos QR dinámicos que cambian su destino y ataques dirigidos a objetivos específicos. Por esta razón, es clave que los usuarios y las empresas estén atentos a estas nuevas tácticas para prevenir incidentes”, concluyó García.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.
A medida que la tecnología evoluciona, también lo hacen las amenazas, con ciberdelincuentes que aprovechan las vulnerabilidades emergentes para ejecutar los ataques cada vez más sofisticados. Este escenario plantea desafíos no menores tanto para las empresas como para los usuarios, quienes deben adaptarse y fortalecer sus defensas ante un panorama de ciberseguridad en constante cambio.
Los códigos QR cada vez son más comunes en la cotidianidad para compartir información o con el fin de realizar transacciones en algunos establecimientos comerciales. Desafortunadamente, los ciberdelincuentes han encontrado una manera de explotarlos para sus propios fines y ejecutar estafas o robar información.
Esta práctica se conoce como “Quishing”, una variante del phishing con la característica Q de los códigos. Al igual que el phishing tradicional, en el que los ciberdelincuentes envían correos electrónicos fraudulentos para obtener datos personales mediante QR maliciosos.
De acuerdo con Pablo García, Gerente de Ciberseguridad de TIVIT Colombia, empresa multinacional tecnológica, los primeros ataques bajo esta modalidad se registraron entre 2021 y 2022, y desde entonces cada vez son más frecuentes y efectivos.
¿Cómo funciona el Quishing a través de códigos QR?
García explicó que los ciberatacantes operan siguiendo estos pasos:
- Creación de Códigos QR Maliciosos: Los atacantes generan códigos QR que redirigen a sitios web falsos diseñados para parecer legítimos.
- Distribución de los Códigos QR: Estos códigos pueden ser impresos y pegados en lugares públicos, enviados por correo electrónico, o incluso integrados en publicidad online.
- Engaño al Usuario: Cuando el usuario escanea el código QR, es direccionado a un sitio web que solicita información personal, como nombres de usuario, contraseñas, o detalles de tarjetas de crédito.
- Robo de Datos: Una vez que el usuario ingresa sus datos, los atacantes los capturan y pueden utilizarlos para cometer fraudes financieros, robo de identidad, o vender la información en mercados clandestinos.
Un estudio de Kaspersky reveló que en 2023 se registraron 2,4 millones de intentos de phishing en el país, con un promedio de cuatro ataques por minuto, lo que posiciona a Colombia como el cuarto país más afectado en la región.
A lo anterior, se le suma el auge de los códigos QR que ha crecido significativamente en el país después de la pandemia. Según Asobancaria, la infraestructura para pagos por QR se multiplicó por cuatro entre 2018 y 2021, lo que impulsó la inclusión financiera y el uso de tecnologías que, aunque son convenientes, también abren la puerta a amenazas como el quishing.
García comentó que en Colombia existen diversos factores que están contribuyendo al crecimiento de esta modalidad delictiva. “Lo primero es el aumento de uso de códigos QR. Lo segundo es la baja conciencia de riesgo, la falta de educación y la poca concientización en temas de ciberseguridad. Por último, la alta penetración de nuevas tecnologías digitales que han creado nuevas oportunidades para los cibercriminales”.
La educación es un factor clave que debe ser fomentada en el país en cuestiones de ciberseguridad. De acuerdo con el gerente TIVIT Colombia, es fundamental promover un enfoque integral que combine la tecnología y la educación. “Por un lado, los sistemas de seguridad de las empresas son clave para ayudar a detectar y bloquear ataques de quishing antes de que lleguen al usuario final. Sin embargo, no son infalibles, por lo cual la educación es clave para que los usuarios sean conscientes de los riesgos y sepan cómo identificar y evitar los ataques”.
Por esa razón, la educación digital y de ciberseguridad debe comenzar con la concientización de las personas para que tengan claro que existen amenazas, especialmente con los códigos QR que están en auge. Del mismo modo, las instituciones educativas y empresas deben promover los siguientes consejos para crear un ambiente digital más seguro.
Recomendaciones para evitar caer en Quishing
Asimismo, el experto de TIVIT, ofrece las siguientes recomendaciones para protegerse contra esta amenaza:
- Verificación de Origen: Antes de escanear un código QR, es clave asegurarse de que proviene de una fuente confiable. Mejor evitar escanear códigos en lugares públicos no verificados.
- Uso de Aplicaciones de Seguridad: Utilizar aplicaciones que escaneen los códigos QR y muestren la URL antes de redirigir. Esto permite verificar si el sitio es seguro.
- Educación y Conciencia: Mantenerse informado sobre las últimas amenazas en ciberseguridad y educar a cercanos y familiares sobre los riesgos del quishing.
- Verificación de URL: Si un código QR redirige a un sitio web, lo mejor es comprobar que la URL sea la correcta. Prestar atención a errores ortográficos o dominios sospechosos.
- Precaución con la Información Personal: No ingresar información sensible en sitios web a los que se accedan a través de códigos QR sin revisar previamente la autenticidad.
Del mismo modo, García ejemplificó los peligros con algunas situaciones comunes que han detectado y que tienen un índice considerable de efectividad. Algunos ejemplos son:
- Correos electrónicos de marketing falsos: envían correos que parecen promociones legítimas, pero contienen códigos QR que redirigen a sitios fraudulentos para robar credenciales.
- Correos electrónicos de logística falsos: a través de comunicaciones de logística falsas con códigos QR que dirigen a plataformas fraudulentas, con el objetivo de robar credenciales o instalar malware.
- Estafas de soporte técnico: Las víctimas reciben mensajes falsos de soporte técnico con códigos QR que los llevan a sitios web maliciosos para robar información sensible.
- Campañas de Donación Falsas: Los delincuentes crean campañas de donación falsas con códigos QR que redirigen a páginas engañosas para robar datos de pago.
De acuerdo con García, el quishing es uno de los ciberataques más comentados, y por una buena razón. Puede adoptar muchas formas, ya que evoluciona constantemente e introduce nuevas maneras de engañar a los usuarios utilizando su mayor debilidad: su naturaleza humana. Por eso, las organizaciones y los usuarios deben adoptar soluciones de seguridad con capacidades contra el phishing, como la autenticación multifactor, filtros de correo electrónicos, navegadores seguros, entre otras más.
“Se espera que el quishing se vuelva más sofisticado, con variantes como códigos QR dinámicos que cambian su destino y ataques dirigidos a objetivos específicos. Por esta razón, es clave que los usuarios y las empresas estén atentos a estas nuevas tácticas para prevenir incidentes”, concluyó García.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.