El QRshing o también conocido como QR Phishing es una amenaza creciente para la ciberseguridad. En este artículo, te contaremos qué es, cómo funciona y cómo protegerte de las estafas con códigos QR.
Todos hemos visto alguna vez los códigos QR: esos pequeños códigos de barras cuadrados, normalmente en blanco y negro, que hoy en día se encuentran en casi todas partes. Pero, ¿Qué son?
Un poco de historia: al principio, los códigos QR eran sólo etiquetas para artículos físicos. En los años 90, la industria automovilística japonesa empezó a utilizarlos para hacer un seguimiento de los vehículos y componentes durante el proceso de fabricación. Pero como los códigos QR son legibles por máquinas y pueden almacenar mucha información, más tarde se adoptaron como forma de enviar datos a un smartphone.
El tipo de datos que contiene un código QR puede variar, pero normalmente será un enlace a un sitio web. En iOS, la aplicación Cámara detecta automáticamente los códigos QR. Cuando apuntas con la cámara de tu iPhone a uno de ellos, se te muestra una opción para abrir la URL vinculada en el navegador web predeterminado.
Eso es lo que hay que saber sobre los códigos QR: No suelen ser más que simples enlaces web. Y como veremos, esto tiene serias implicaciones para la ciberseguridad.
Es muy parecido a otras formas de phishing. Se trata de un ataque de ingeniería social cuyo objetivo es conseguir que la gente entregue información personal, credenciales de acceso o detalles financieros.
Los ataques de phishing suelen utilizar un enlace a un sitio web malicioso que se envía por correo electrónico. El phishing de código QR consiste básicamente en hacer exactamente lo mismo, pero utiliza un código QR para que la víctima vaya al sitio web malicioso. Al igual que cualquier otro sitio web de phishing, su único objetivo es conseguir que introduzcas tu número de la Seguridad Social, tus datos de acceso al banco, las credenciales de tu cuenta de correo electrónico o cualquier otro dato sensible.
Las estafas con códigos QR adoptan diversas formas. A continuación, se presentan algunas formas en las que los cibercriminales ya han utilizado los códigos QR para los ataques de phishing:
En China, los estafadores colocaron multas de aparcamiento falsas en coches aparcados ilegalmente. Las multas contenían un código QR e instrucciones para usar el código para pagar a través de una aplicación de pago móvil. Para que la estafa del código QR fuera aún más convincente, la cuenta fraudulenta creada para recibir el pago utilizaba la foto del perfil de un agente de policía.
En los Países Bajos, una estafa con código QR se aprovechó de una función legítima de la aplicación de banca móvil de ING Bank. ING permite a los clientes utilizar un código QR para configurar un dispositivo móvil secundario para acceder a su cuenta. Los estafadores buscaban a clientes de ING que estuvieran vendiendo cosas en línea y luego obtenían sus números de cuenta, ¡supuestamente para poder pagarles por una compra!
A continuación, utilizaban una aplicación de ING instalada en su propio dispositivo móvil para generar un código QR que, al ser escaneado por el objetivo, configuraría el dispositivo de los estafadores como dispositivo secundario en la cuenta bancaria de esa persona. A continuación, enviaban el código QR de configuración a la víctima potencial, alegando que tenía que escanearlo para “confirmar el pago”. Si la víctima escaneaba el código QR malicioso, su cuenta se vinculaba a la aplicación de ING en el dispositivo de los estafadores, lo que facilitaba a los delincuentes el acceso al dinero.
En Alemania, los clientes de banca electrónica han estado recibiendo correos electrónicos de phishing que contienen códigos QR maliciosos. Los correos electrónicos pretenden ser de grandes bancos y dicen a los destinatarios que tienen que “revisar los nuevos procedimientos de seguridad” o “dar su consentimiento a los cambios en la política de privacidad”. Los estafadores utilizan códigos QR en lugar de enlaces web normales para evitar el software de seguridad. Si se escanean, los códigos QR llevan al destinatario a un sitio web de phishing. El sitio les pide que introduzcan la ubicación y el código de su banco, su nombre de usuario y su PIN.
En Texas, los delincuentes han empezado a colocar pegatinas con códigos QR maliciosos en los parquímetros de la ciudad. La policía de Austin, San Antonio y Houston dice que ha descubierto pegatinas con códigos QR fraudulentos en varios parquímetros. Los estafadores intentan engañar a los conductores haciéndoles creer que pueden pagar el estacionamiento medido a través de un sitio web especial “Quick Pay Parking”, pero el sitio web no es más que un sitio de phishing creado para robar información de tarjetas de crédito.
No es práctico evitar por completo los códigos QR, sobre todo en la era del COVID-19, en la que se utilizan para pagos, menús digitales, seguimiento de paquetes, localización de contactos, etc. Pero hay algunas medidas básicas que puedes tomar para mantenerte a salvo. He aquí seis sugerencias:
– No vayas tan rápido: Los códigos QR están pensados para ser rápidos (después de todo, está en el nombre). Cuando la mayoría de la gente ve un código QR, su primer instinto es escanearlo e irse, y generalmente no se tomarán mucho tiempo para pensar en lo que están haciendo. Los estafadores cuentan con esto. No caigas en su trampa.
Antes de escanear un código QR, tómate un momento para frenar y pensar en lo que realmente está sucediendo. Pregúntate a ti mismo: ¿Sé quién ha puesto el código QR ahí? ¿Confío en que no ha sido manipulado? ¿Tiene sentido que se utilice un código QR en esta situación? Si algo te parece “raro”, confía en tu instinto y no escanees el código QR.
– Ten en mente que es un enlace: Entrénate para tratar los códigos QR como enlaces. Antes de escanear uno, piensa: “Estoy a punto de hacer click en un enlace. ¿Esto es seguro?”
Un código QR pegado en el lateral de un edificio es como un enlace enviado a tu correo electrónico por un completo desconocido. Si apareciera en tu bandeja de entrada, ¿harías click en él?
Un código QR que te lleva a un sitio web en el que se piden datos financieros es lo mismo que un enlace que hace esto. Si alguien envía un enlace por correo electrónico diciendo: “Hola, trabajo para la división de aparcamientos de la ciudad, haga click en este enlace e introduzca los datos de su tarjeta de crédito para poder prepagar el aparcamiento”, ¿lo harías?
Una vez cultivada esta mentalidad, es mucho más fácil detectar los códigos QR de alto riesgo.
– Inspeccionar los enlaces de los códigos QR: En iOS, la aplicación Cámara detectará automáticamente los códigos QR y te dará la opción de abrir el enlace asociado en un navegador web. Se te mostrará la URL a la que el QR intenta llevarte. Tómate un segundo para inspeccionarla cuidadosamente antes de proceder al sitio.
Si el dominio no coincide con la organización de la que dice provenir el código QR, o si es claramente sospechoso, entonces algo no está bien.
Las empresas y los gobiernos a veces utilizan URLs acortadas en sus códigos QR, o contratan servicios de terceros para gestionar los pagos móviles. Esto hace que sea más difícil detectar una URL incorrecta. A veces se puede hacer una búsqueda rápida en Internet de la URL y el nombre de la organización para ver si se puede confirmar que el código QR es legítimo. Pero más allá de eso, hay que tener mucho cuidado, sobre todo si se piensa pagar por algo.
Si no estás seguro de si es correcto o no utilizar el código QR, ve a lo seguro y navega hasta el sitio web de la organización en el navegador para encontrar lo que buscas.
– Buscar indicios de manipulación física: En los lugares donde se utilizan habitualmente los códigos QR, como un restaurante, hay que estar atento a los signos de manipulación física. Si ves una pegatina de código QR que parece haber sido colocada encima de un código legítimo, ten cuidado. Podría tratarse simplemente de un empleado con exceso de trabajo que no ha tenido tiempo de quitar la pegatina más antigua. Pero también podría ser malicioso.
En general, ten en cuenta que en un lugar público, cualquiera puede colocar una pegatina con un código QR malicioso, siempre que sea lo suficientemente audaz como para hacerlo. Y recuerda que los delincuentes pueden descargar fácilmente de la web los logotipos de las empresas y los sellos gubernamentales: ¡no son garantía de autenticidad!
Por último, si vives en un lugar en el que los códigos QR se utilizan para el rastreo de contactos o el pago de estacionamiento, lo mejor es conseguir la aplicación oficial que se utiliza para gestionar estas cosas.
– Pon unos límites: Haz una lista mental de las situaciones en las que no vas a confiar en absoluto en un código QR.
Si un código QR te lleva a un sitio que solicita datos personales o financieros muy sensibles -especialmente cosas como los datos bancarios-, es mejor que cierres el navegador y navegues al sitio web de la organización de forma independiente.
No escanees códigos QR al azar que encuentres expuestos en público o que te envíen por correo basura. Sí, 9 de cada 10 veces se trata probablemente de una táctica de marketing. Pero escanear uno de estos códigos QR es esencialmente lo mismo que hacer click en un enlace de correo electrónico de spam. Más vale prevenir que curar.
Por último, desconfiar de un código QR no solicitado que llegue por correo electrónico, aunque parezca ser de una organización que es conocida. Una vez más, algunos de ellos probablemente estén bien: Se trata de empresas que intentan impulsar el compromiso entre plataformas enviando códigos QR en sus correos electrónicos. Pero como sabemos que los códigos QR ya se han utilizado en campañas de correo electrónico de phishing como forma de burlar el software de seguridad, probablemente sea mejor evitar por completo los códigos QR enviados por correo electrónico.
– Usar 2FA: Por último, utiliza la autenticación de dos factores para proteger tus cuentas.
Si sigues todos los consejos anteriores, aún puedes ser víctima de un ataque de phishing de credenciales basado en QR. Pero si tienes el 2FA activado, tu cuenta estará a salvo.
La 2FA no te ayudará si das tu número de la Seguridad Social o los datos de tu tarjeta de crédito en un sitio web de phishing, pero sí puede protegerte de una cuenta comprometida.
Mr. X
Exploitables es una comunidad de ciberseguridad y tecnología nacida en Málaga. Queremos compartir conocimientos de manera desinteresada.
