El phishing de código QR, más comúnmente conocido como “quishing”, es un tipo de ataque de phishing que consiste en engañar a los usuarios para que escaneen códigos QR para robar información personal como credenciales de inicio de sesión o números de tarjetas de crédito. Cuando un usuario escanea un código QR creado para un ataque de quishing, es dirigido a un sitio web malicioso que descarga un malware en su teléfono o le solicita información personal.
Continúe leyendo para aprender qué el quishing, en qué se diferencia del phishing, cómo funciona, por qué es peligroso, cuáles son los signos de un ataque de quishing y cómo prevenirlo.
Quishing vs. phishing: ¿cuál es la diferencia?
El phishing es un tipo de ataque cibernético que consiste en engañar a las personas para que revelen su información personal. Los cibercriminales envían mensajes a los usuarios, generalmente a través de correo electrónico o mensajes de texto, que contienen un archivo adjunto o enlace malicioso. Cuando el usuario hace clic en el enlace, se le redirige a un sitio web falso que descarga un malware en su dispositivo o se le engaña para que revele su información personal.
El «quishing» es un tipo de ataque de phishing que, en lugar de usar archivos adjuntos o enlaces, emplea un código QR que redirige al usuario que lo escanea a un sitio web malicioso. El quishing y el phishing comparten el mismo objetivo: robar la información personal de un usuario, pero difieren en los métodos que utilizan.
¿Cómo funciona el quishing?
Como primer paso, los ciberdelincuentes crean un sitio web falso. Este tipo de sitio web intenta lucir como uno legítimo pero tiene el objetivo de engañar al usuario que ingresa para que revele su datos sensibles sobre su persona o descargar un malware en su dispositivo.
Una vez que el sitio web falso está listo, los ciberdelincuentes lo enlazan a un código QR que crean. Un código QR, o de respuesta rápida, es un código de barras bidimensional que contiene datos codificados, como un enlace, y se puede escanear con un teléfono o un lector de código de barras.
Una vez que el cibercriminal crea el código QR, lo envía por correo electrónico o mensaje de texto, o lo coloca en espacios públicos como folletos o carteles, para que las víctimas lo escaneen. Cuando la víctima escanea el código QR, es redirigida al sitio web malicioso donde se le incitará a revelar su información personal confidencial.
Los peligros del quishing
Los ataques de quishing son peligrosos porque los ciberdelincuentes pueden crearlos fácilmente y enmascarar enlaces maliciosos detrás de los códigos QR. Los códigos QR también son fáciles de crear, cualquier persona puede hacerlo. El cibercriminal utiliza un generador QR para crear un código QR e incrustarle el enlace malicioso. Debido a que el enlace malicioso está incrustado en el código, es difícil detectarlo de inmediato, lo que permite que los ataques de quishing eludan los filtros de spam. Dado que el enlace malicioso no se puede detectar al principio, puede resultar fácil caer en ataques de quishing que permiten a usuarios no autorizados acceder a la cuenta personal de la víctima.
Señales de un ataque de quishing
Los ataques de quishing son más difíciles de detectar ya que se emplean códigos QR en vez de enlaces o archivos adjuntos. Sin embargo, las señas de un ataque de quishing son detectables ya que se asemejan a las de un ataque de phishing. A continuación se presentan las señales de un ataque de quishing que se deben tener en cuenta.
Código QR procedente de un remitente sospechoso
Usualmente, los ataques de quishing consisten en una persona que se hace pasar por una empresa legítima o un colega del trabajo, le envía un código QR y le pide que lo escanee. Sin embargo, es posible que observe incoherencias entre el nombre del remitente y su dirección de correo electrónico, como por ejemplo, que no coinciden. El correo electrónico también puede provenir de un dominio público como Google o Yahoo.
Mensaje con errores ortográficos o gramaticales
Si observa errores ortográficos o gramaticales en un mensaje con un código QR, es señal de que se trata de un ataque de quishing. Las empresas legítimas revisan varias veces sus correos electrónicos en busca de errores ortográficos y gramaticales antes de enviarlos. Si un mensaje contiene errores ortográficos o gramaticales, lo más probable es que se trate de un cibercriminal que intenta hacerse pasar por un negocio legítimo.
Mensaje con tono insistente para escanear el código QR
Si el mensaje contiene un tono de urgencia que le insta a escanear el código QR, lo más probable es que se trate de un ataque de quishing. Los ciberdelincuentes pueden utilizar un discurso apremiante para asustarle con el fin de que escanee su código QR y revele su información personal. Le harán pensar que se está perdiendo una gran oferta, que está en peligro o que necesita confirmar algo con su información personal.
Errores en la dirección web del código QR
Cuando escanea un código QR, antes de ingresar a la página pretendida, puede obtener una vista previa del enlace a la misma. Si observa que el enlace se ha acortado, es ilegible o contiene errores ortográficos, lo más probable es que dirija a un sitio web malicioso para un ataque de quishing. Si accidentalmente abrió el enlace desde el código QR, busque cualquier discrepancia en el sitio web, como errores de ortografía o formato, y evite interactuar con el sitio web.
Códigos QR con ofertas demasiado buenas para ser verdad
Algunos códigos QR pueden intentar promocionar grandes oportunidades, como descuentos, ofertas especiales o cosas gratis. Si parecen demasiado buenos para ser verdad, probablemente lo sean. Los ciberdelincuentes dirán cualquier cosa para conseguir que escanee su código QR malicioso. Le engañarán para que piense que está haciendo un buen negocio cuando, en realidad, está cayendo en su trampa. Debe investigar la oferta antes de actuar.
Una solicitud repentina o no solicitada de información personal es sin duda señal de un ataque de quishing. Una empresa legítima o un colega del trabajo nunca le pedirá información confidencial, como sus credenciales de inicio de sesión o información de su tarjeta de crédito, mediante correo electrónico o mensaje de texto.
Discrepancias con los códigos QR físicos
No todos los ataques de quishing se realizan en línea, algunos códigos QR maliciosos se colocan en lugares públicos, como restaurantes y parques. Se pueden distribuir a través de folletos, carteles o pegatinas para que las personas los escaneen. Algunos códigos QR maliciosos se colocan sobre los legítimos con el fin de engañar a los usuarios para que los escaneen. Si hay alguna discrepancia sospechosa con el código QR físico de una empresa legítima, lo más probable es que los ciberdelincuentes lo hayan manipulado y reemplazado por uno malicioso. Debe ponerse en contacto directamente con la empresa para confirmar la autenticidad del código QR.
Cómo prevenir los ataques de quishing
El quishing es una forma relativamente nueva y peligrosa de robar la información personal de un usuario. Sin embargo, las tácticas para prevenir los ataques de phishing tradicionales también son aplicables al quishing. A continuación se indican las formas de evitar ser víctima de los ataques de quishing.
Evite escanear códigos QR no solicitados
Debe evitar escanear cualquier código QR no solicitado cuando desconozca la fuente de procedencia. Si recibe un mensaje no solicitado que le insta a escanear un código QR o si ve un código QR en público, evite hacerlo porque puede tratarse de un intento de quishing que le redirigirá a un sitio web malicioso.
Compruebe la dirección web del código QR para detectar cualquier discrepancia
Cuando escanea un código QR, se proporciona una vista previa de la dirección web del código QR en la que se puede hacer clic para abrir el enlace. Siempre compruebe el enlace del código QR antes de hacer clic en él y examínelo para ver si hay alguna discrepancia en la URL. Si observa algún error ortográfico o nombres de dominio desconocidos, lo más probable es que el código QR lo redirija a un sitio web malicioso.
Si recibió un código QR de una empresa o persona que reconoce, debe ponerse en contacto directamente con dicha empresa o persona a través de otros medios de comunicación y preguntarle sobre el mismo. También puede visitar el sitio web de la empresa en lugar de utilizar el código QR.
Utilice contraseñas segura y única para proteger sus cuentas
Al igual que sucede el phishing, durante un ataque de quishing, el cibercriminal intentará robar sus credenciales de inicio de sesión y acceder a sus cuentas. Sus cuentas en línea pueden contener información personal como los números de su tarjeta de crédito o la dirección de su domicilio. Debe utilizar contraseñas seguras y únicas para proteger su información personal de los ciberdelincuentes. Las contraseñas seguras y únicas dificultan el acceso de los ciberdelincuentes a sus cuentas.
También es recomendable utilizar un gestor de contraseñas para almacenar las contraseñas. Un gestor de contraseñas es una herramienta que almacena y gestiona de forma segura su información personal en un cofre cifrado. Esto ayuda a proteger sus credenciales de inicio de sesión con un cifrado y solo se podrá acceder a ellas mediante una contraseña maestra. Esta herramienta también le otorga la posibilidad de acceder a todas sus contraseñas únicas en cualquier momento que las necesite.
Algunos gestores de contraseñas almacenan la URL de la página de inicio de sesión de una cuenta para evitar intentos de phishing. Cada vez que intente iniciar sesión en sus cuentas, su gestor de contraseñas autocompletará sus credenciales cuando se encuentre en la página de acceso almacenada. Sin embargo, si se encuentra en un sitio web falso, su gestor de contraseñas no autocompletará sus credenciales de inicio de sesión para evitar que los ciberdelincuentes roben su información personal.
Habilite la MFA en sus cuentas
La autenticación multifactor (MFA) es una medida de seguridad que requiere que proporcione medidas adicionales de autenticación para obtener acceso a una cuenta o un dispositivo. La habilitación de la MFA le brinda aún más control sobre quién tiene acceso a sus cuentas en línea. Añade una capa adicional de seguridad al verificar la identidad de los usuarios autorizados. Incluso si sus credenciales de inicio de sesión estuvieran vulneradas por un ataque de quishing, los cibercriminales no podrían acceder a sus cuentas porque las mismas están protegidas por la MFA.
Mantenga su software siempre actualizado
Para evitar que los cibercriminales aprovechen las vulnerabilidades del sistema de seguridad de su dispositivo, debe mantener su software actualizado. Las actualizaciones de software incluyen parches que eliminan fallos de seguridad y añaden nuevas funciones de protección que refuerzan la defensa de su dispositivo.
Instale un software antivirus
El software antivirus es un programa que puede detectar, prevenir y eliminar el malware conocido para que no infecte su dispositivo. Debe instalarlo en su teléfono para evitar que los ataques de quishing introduzcan malware en su teléfono. Si accidentalmente escanea el código QR de un ataque de quishing y entra en un sitio web malicioso, el software antivirus evitará que el malware se instale automáticamente en su dispositivo.
Protéjase de los ataques de quishing con Keeper
Aunque los ataques de quishing pueden ser aterradores, puede protegerse fácilmente de varias formas: evite los códigos QR de fuentes sospechosas y desconocidas, utilice contraseñas seguras y únicas, active la MFA, mantenga su software actualizado e instale software antivirus en su dispositivo.
Sin embargo, la mejor protección contra los ataques de quishing es utilizar un gestor de contraseñas. Con él, sus credenciales de inicio de sesión estarán protegidas por distintos niveles de cifrado.
Keeper® Password Manager ofrece la función KeeperFill®, que rellena automáticamente sus credenciales de inicio de sesión, almacenadas en su gestor de contraseñas, siempre que acceda a la página de acceso de sus cuentas. Regístrese para una prueba gratuita de Keeper Password Manager y protéjase de los ataques de quishing.