En la actualidad los ciberdelincuentes tienen la capacidad de concebir ataques y engaños utilizando cualquier forma de tecnología disponible. Esto implica que, al navegar por internet y también en el mundo offline, debemos ser cuidadosos en nuestras acciones, ya que podríamos caer en trampas. En este artículo nos enfocaremos en el fenómeno conocido como QRishing o la utilización fraudulenta de códigos QR.
Un código QR, que significa «Quick Response» o Respuesta Rápida, es una versión moderna de un código de barras que nuestro teléfono inteligente puede leer para acceder a diversos tipos de información. Estos códigos son utilizados para una variedad de propósitos, como acceder al menú de un restaurante, adquirir boletos de tren, identificarse u obtener la contraseña de una red Wi-Fi, entre otros.
Es precisamente en estas aplicaciones donde los criminales cibernéticos encuentran oportunidades para ocultar malware o llevar a cabo estafas. En los últimos meses ha habido un aumento en este tipo de ataques. Estos pueden manifestarse, por ejemplo, a través de notificaciones falsas de multas de tráfico que apuntan a un sitio web fraudulento o mediante la colocación de pegatinas falsas sobre un código QR genuino. Este último tipo de ataque se ha detectado en numerosas ocasiones en vehículos dispuestos para el alquiler tales como patinetes eléctricos o en cartas de restaurantes, por ejemplo.
Esta metodología criminal lleva al usuario víctima a tomar una foto de la imagen y navegar hacia la página de inicio de sesión falsa resultante. Obviamente, esta acción es perniciosa por varias razones, dos de las cuales son evidentes de inmediato: no se conoce ninguna solución de seguridad que, al mismo tiempo que lea el código QR, sea capaz de analizarlo para determinar si la URL resultante es maliciosa o no. Lo que nos lleva a la segunda razón: muchos de los sistemas integrados, al leer el QR, abren directamente la URL que contiene, de manera que no dan opción a examinar detenidamente si el dominio al que dirigen es o no legítimo. Otros sistemas integrados o apps de lectura de QR sí ofrecen un paso intermedio en el que se puede ver esta dirección web y analizarla si así se desea, pero por desgracia, para el usuario medio resulta engorroso copiar esta URL y pasarla por un detector (como puede ser virustotal.com) para saber si esta ha sido incorporada en las bases de datos de los más famosos antivirus como una URL potencialmente peligrosa.
Por estas dificultades que surgen para verificar la legitimidad de los QR, este tipo de ingeniería social tiene éxito, de lo contrario los ciberdelincuentes no estarían utilizando este método. Este tipo de ataque pone de relieve el hecho de que las personas necesitan estar recibiendo continuamente educación a través de una formación de concienciación en seguridad de nueva generación, de manera que todo lo que se salga de lo ordinario, en este caso algo tan extravagante como que un QR redirija a una web donde se piden credenciales de acceso, levante las alertas de todo el mundo.
Cómo evitarlo
Afortunadamente, si eres una persona previsora, es bastante probable que logres evitar caer en cualquiera de estos engaños. Lo primero y más crucial es verificar que la solución para leer códigos QR en nuestro dispositivo muestre la URL a la que nos dirigen; si no es así, debemos hacernos con una aplicación, de las muchas que hay en las diferentes stores de apps, que sí lo haga.
Una vez que este factor lo tengamos cubierto, lo siguiente que debemos hacer es saber reconocer si la dirección a la que nos redirige el código QR es una dirección segura. En este punto entran en juego nuestras habilidades para reconocer direcciones web fraudulentas. Estas habilidades son algo que se entrena cuando capacitamos a las personas en la detección de phishing, por lo que estas habilidades se pueden usar para detectar también estas URLs escondidas, en este caso, detrás de un código QR malicioso.
Por ejemplo, es esencial observar si la página web a la que estamos siendo dirigidos comienza con «https», lo cual representa un nivel mínimo de seguridad y protección. Las páginas confiables suelen cumplir con este requisito, aunque es importante mencionar que este factor no es absolutamente determinante y el mero hecho de que la dirección comience por https no debería ser percibida por los usuarios como una garantía de navegación 100% segura.
Lo que sí podemos hacer para saber si la URL que ofrece el QR se corresponde con una URL legítima es realizar una simple búsqueda en Google. De esta manera veremos cuáles son los primeros resultados “no patrocinados” (es decir, que no sean anuncios) que corresponden con esa marca, navegamos hacia la web en concreto y verificamos que el dominio sea exactamente como el que ofrece el QR. De no ser así podría tratarse de una estafa y debemos permanecer atentos. Especial atención merece si en la web a la que accedemos usando el código QR se nos está pidiendo algún tipo de dato relacionado con nuestra tarjeta de crédito, datos personales o credenciales de acceso.
En relación con los enlaces, si nos encontramos con un enlace acortado, es recomendable extenderlo antes de abrirlo para verificar su legitimidad y descartar cualquier sospecha. Para ello también existen diversas soluciones online que nos ayudarán en dicho cometido.
Finalmente, si posees un negocio y empleas códigos QR para tus clientes, es crucial llevar a cabo revisiones periódicas de tus códigos QR para garantizar que no hayan sido alterados de manera fraudulenta.
Si deseas obtener más información sobre cómo proteger a tu organización y a sus miembros de los ciberriesgos, te invitamos a conocer más sobre Kymatio visitando nuestra página web.
