El cibercrimen es un negocio, y por ello los actores maliciosos no descansan en su búsqueda de nuevas estrategias para engañar a sus víctimas.
En esta ocasión, los estafadores se aprovechan de la implementación masiva de los códigos QR (utilizados, por ejemplo, para acceder a ofertas, consultar el menú de un restaurante, obtener información de un producto o incluso realizar pagos) como un nuevo medio para engañar a las personas.
ESET, alerta sobre qué es el quishing, cómo funciona, por qué puede ser peligroso y de qué manera es posible protegerse.
El quishing es una técnica de phishing que utiliza códigos QR para engañar a sus víctimas, logrando que
revelen sus datos personales u otra información sensible, o bien redirigiéndolos a sitios web maliciosos.
Funciona de manera similar a los ataques de phishing tradicionales, pero en lugar de usar un correo
electrónico o un SMS con un enlace malicioso, requiere que la víctima escanee el código QR falso.
Para llevar a cabo esta técnica, los actores maliciosos insertan un código QR en redes sociales, anuncios
en internet, correos electrónicos, calcomanías o folletos físicos para que las personas lo escaneen.
Estos atacantes emplean técnicas de ingeniería social para convencer a la víctima de que el código es
legítimo y de que, al escanearlo, obtendrá algún beneficio o recompensa, a menudo haciéndose pasar
por empresas o marcas reconocidas mundialmente.
Es común que los ciberatacantes recurran a mensajes que apelan al sentido de urgencia, incentivando al
usuario a escanear el código QR para evitar, por ejemplo, la suspensión de una cuenta.
Una vez escaneado, puede redirigir a la víctima a un sitio web malicioso para robarle datos
personales o información sensible. Por ejemplo, podría llevarla a un sitio que simule ser el de un banco y
solicitar sus credenciales bancarias. Otra opción es que, mediante el código QR, se descargue malware
en el dispositivo.
Existen buenas prácticas para reducir el riesgo de ser víctimas de quishing:
- Verificar el origen del código QR: antes de escanearlo, asegúrate de que proviene de una fuente
confiable.
Usar una aplicación que permita previsualizar la URL a la que conduce el código QR, para
confirmar si es segura. - Tener precaución con códigos QR inesperados o de remitentes desconocidos que prometen
beneficios llamativos; en muchos casos, es mejor no escanearlos para evitar posibles riesgos. - Mantener instalada y actualizada una solución de seguridad confiable en dispositivos móviles,
especialmente en aquellos donde se realizan operaciones bancarias o se maneja información
sensible.
Leave a Reply