El tema de los códigos QR que son utilizados para estafar, enviar códigos malignos u otras maquinaciones que se utilizan a través de ello, fue tratado en una ocasión en este Blog, pero la celeridad con la que comienza a utilizarse esta práctica hace conveniente su tratamiento.
Se reproduce a continuación el artículo de Antonio Hernández Domínguez, publicado en la sección Código Seguro de Cubadebate.
El qrishing, una técnica de phishing que utiliza códigos QR para engañar a las víctimas y robar información confidencial. Imagen tomada de Cubadebate.
Hola, mis estimados lectores. En el día de hoy vengo a hablarles sobre otra de las amenazas más conocidas en el ciberespacio. Se trata en esta ocasión de otra variante de suplantación de identidad. Aunque en otras ocasiones les he hablado sobre esto, en particular que se ha puesto muy de moda recientemente. Les hablo acerca del qrishing, una técnica de phishing que utiliza códigos QR para engañar a las víctimas y robar información confidencial.
Los códigos de barras matriciales, conocidos como códigos de respuesta rápida (QR, acrónimo en inglés de quick response), se han generalizado rápidamente en los entornos urbanos de todo el mundo.
Según la literatura científica, tienen un fuerte componente matemático, pues constituyen una matriz bidimensional de píxeles en blanco y negro que pueden utilizarse para almacenar información de forma compacta, y deben ser escaneables ópticamente. Los códigos QR se utilizan para representar datos, como una dirección web, en un formato compacto que los dispositivos móviles de los consumidores pueden escanear fácilmente y analizar. Son populares entre los comerciantes por su facilidad de despliegue y uso, además de que tienen mayor densidad de información y mejor legibilidad en comparación con los códigos de barras unidimensionales.
El usuario escanea el código QR fotografiándolo con un dispositivo móvil, como un teléfono inteligente. A continuación, la imagen es interpretada por un lector de códigos QR que los usuarios pueden instalar como aplicación en su dispositivo móvil. El lector descodifica el mensaje y realiza una operación basada en él. Por ejemplo, si los datos codificados contienen un enlace a la descarga de una aplicación móvil, el lector puede redireccionar a los usuarios automáticamente hacia la tienda de aplicaciones de Google o de Apple, según sea el sistema operativo que se encuentre instalado en el dispositivo. El contenido representado por un código QR suele ser un hipervínculo, y la acción asociada consiste en iniciar el navegador web del dispositivo y visitar el sitio web especificado por el código.
Sin embargo, la facilidad con la que se pueden generar y distribuir códigos QR no solo ha atraído a las empresas, sino también a estafadores que buscan dirigir a la gente a sitios web de phishing. Su utilización por lo general anima a los usuarios móviles a escanear datos no autenticados de carteles, vallas publicitarias, pegatinas, etc., proporcionando un nuevo vector de ataque para los malhechores. Mucho cuidado incluso con los QR que aparecen como la tablilla salvadora hacia una conexión de “wifi gratuita”, ya en artículos anteriores en la columna hemos hablado sobre esto, recomiendo volverlos a leer. Lo que sí está claro es que mediante la colocación de códigos QR bajo falsos pretextos, los atacantes pueden atraer a los usuarios para que escaneen los códigos y posteriormente visiten sitios web maliciosos, instalen programas o realicen cualquier otra acción que admita el dispositivo móvil.
El qrishing (fonéticamente krihsh-ing) surge a partir de la combinación de los términos QR y phishing. Esta técnica se ha popularizado con el aumento del uso de códigos QR, especialmente durante la pandemia de covid-19, y también en Cuba, tras las políticas que tiendan desarrollar un mercado donde predomina el comercio y los pagos electrónicos. En Cuba, la implementación de códigos QR ha avanzado significativamente, específicamente en el ámbito de los pagos electrónicos. Sin dudas estos simplifican el proceso de pago, permitiendo transacciones rápidas y seguras. No obstante, revisando la otra cara de moneda, pueden existir personas malintencionadas que utilicen este servicio, con el objetivo de obtener datos personales, bancarios o instalar programas malignos en los dispositivos.
Cómo funciona
– Creación del código QR falso: Los atacantes generan un código QR que contiene un enlace malicioso.
– Distribución: Estos códigos pueden ser distribuidos en lugares públicos, como restaurantes, paradas de autobús, o incluso pueden ser enviados por otros canales como pueden ser el correo electrónico o la mensajería instantánea.
– Correos electrónicos falsos: Los atacantes envían correos electrónicos que parecen provenir de instituciones financieras o tiendas en línea. Estos correos incluyen un código QR que, al ser escaneado, redirige a una página web falsa diseñada para robar información personal y financiera.
– Panfletos y carteles: Los ciberdelincuentes colocan panfletos o carteles en lugares públicos, como paradas de autobús o estaciones de tren, con códigos QR que prometen descuentos o promociones especiales. Al escanear el código, las víctimas son llevadas a sitios web maliciosos.
– Restaurantes y cafeterías: En algunos casos, los atacantes colocan códigos QR falsos sobre los originales en menús de restaurantes o cafeterías. Al escanear estos códigos, los clientes son redirigidos a páginas de pago fraudulentas donde se les solicita ingresar información de tarjeta de crédito.
– Redes sociales: Los ciberdelincuentes pueden compartir códigos QR en redes sociales, alegando que llevan a contenido exclusivo o premios. Al escanear el código, los usuarios pueden descargar malware o ser redirigidos a sitios de phishing.
– Eventos y Conciertos: En eventos masivos, como conciertos o conferencias, los atacantes pueden distribuir códigos QR falsos que prometen acceso a áreas VIP o descuentos en mercancía. Estos códigos pueden llevar a sitios web que recopilan datos personales o instalan software malicioso.
– Engaño: Al escanear el código, la víctima es redirigida a una página web que parece legítima pero que en realidad es una copia diseñada para capturar información y en especial sobre nuestros datos personales.
Un ejemplo notable ocurrió cuando un código QR falso fue colocado sobre el original en un restaurante, redirigiendo a los clientes a una página de pago fraudulenta. Este tipo de incidentes subraya la necesidad de estar alerta y verificar siempre la autenticidad de los códigos QR antes de escanearlos.
¿Qué medidas de seguridad se pueden tomar?
– Verificar la URL: Antes de ingresar cualquier información, asegúrate de que la URL es correcta y no está acortada.
– Desactivar la apertura automática: Configura tu dispositivo para que no abra automáticamente los enlaces de los códigos QR.
– Evitar escanear códigos desconocidos: No escanees códigos QR de fuentes no confiables o desconocidas. Esto es verdaderamente complejo por la diversificación de esta tecnología a lo largo del país y del mundo, no obstante siempre el obtener información previa acerca del lugar donde nos encontremos puede resultar muy beneficioso.
– Usar aplicaciones de seguridad: Instala aplicaciones de seguridad en tu dispositivo que puedan escanear códigos QR y verificar su autenticidad antes de abrir el enlace. Este humilde autor les sugiere, según su experiencia, QR Scanner-Safe, QR Code Reader (Trend Micro), Lector y Escáner de Códigos QR (Kaspersky). No obstante, en la tienda de aplicaciones cubanas Apklis se encuentran varias que pueden ser utilizadas. En el caso de las operaciones bancarias y de comercio electrónico, siempre utilizar las aplicaciones destinadas para esta finalidad desarrolladas en nuestro país. No obstante siempre debemos estar alertas y leer las notificaciones y los mensajes de alerta.
Actualizar software: Aunque siempre hablamos de esto es muy importante mantener tu sistema operativo y todas las aplicaciones actualizadas. Pudiera parecer costoso mantener una política adecuada de actualización en nuestros dispositivos, una variante pudiera ser ir a los puntos de acceso público y aprovechar ese momento para actualizar nuestras aplicaciones. Las actualizaciones a menudo incluyen parches de seguridad que pueden protegerte contra nuevas amenazas y en particular sobre programas malignos que pudieran ser instalados sin siquiera estar consientes de esto.
Educación y concienciación: Mantente informado sobre las últimas técnicas de phishing y qrishing. Aunque no es suficiente, y siempre debe combinarse con medidas tecnológicas, la educación es una de las mejores defensas contra las amenazas del ciberespacio.
Revisar permisos de aplicaciones: Asegúrate de que las aplicaciones en tu dispositivo no tengan permisos innecesarios que puedan ser explotados por malware.
El qrishing es una amenaza creciente en el mundo digital. La concienciación y la adopción de medidas preventivas son esenciales para protegerse contra este tipo de estafas. Mantente informado y siempre verifica la autenticidad de los códigos QR antes de escanearlos. Por hoy es todo, hasta acá hemos compartido algunos de los consejos que pueden resultar útiles a la hora de protegernos ante otra variante de ataque de suplantación de identidad.