Cuidado con el quishing, una nueva forma de estafa que usa códigos QR para engañarte
Expertos de ESET, empresa de ciberseguridad, alertaron el pasado 31 de octubre por la técnica de phishing conocida como “quishing” que se vale de códigos QR para engañar a sus víctimas, y así obtener información sensible o redirigirlas a un sitio web malicioso.
¿Qué es el quishing, una nueva forma de estafa digital?
Los cibercriminales han aprovechado la implementación masiva de códigos QR para diversas funciones como para saber el menú de un restaurante, la información de un producto o hacer pagos para engañar a las personas, según el portal “Welivesecurity” de ESET.
Para lograrlo, los atacantes se valen del quishing, una técnica de phishing que se vale de códigos QR para engañar a las víctimas y hacer que revelen sus datos personales e información sensible, o redirigirles a un sitio web malicioso.
- Este ciberdelito funciona como cualquier ataque de phishing, solo que en lugar de usar un email o SMS para distribuir un enlace malicioso, se utiliza un código QR apócrifo.
[TE RECOMENDAMOS: ¿Te llegó un mail raro a tu correo corporativo? Cuidado, podría ser un ataque de phishing]
¿Cómo identificar un QR falso?
Los especialistas de ESET enlistan tres buenas prácticas que se pueden poner en práctica para reducir el riesgo de ser víctimas de quishing:
- Ten en cuenta de dónde proviene cualquier código QR
- Antes de escanear un código, asegúrate de que proviene de una fuente fiable.
- Utiliza alguna aplicación que permita previsualizar la URL a la que deriva el código QR, con el objetivo de confirmar si es segura o no.
- Ten cautela ante códigos QR que llegan de manera inesperada o de algún desconocido y prometen beneficios sustanciosos
La empresa de seguridad digital asegura que la mejor decisión es no escanear códigos QR de fuentes no confiables para evitar posibles inconvenientes.
¿Cómo funciona esta nueva amenaza?
Los actores maliciosos insertan un código QR en redes sociales, ofertas publicadas en internet, correos electrónicos, calcomanías o folletos físicos para ser escaneados por cualquier persona.
“Para ello, utiliza técnicas de ingeniería social para convencer a su víctima de que se trata de un código legítimo y que escaneándolo obtendrá algún beneficio o recompensa”.
ESET
Los cibercriminales incluso pueden hacerse pasar por empresas o marcas reconocidas mundialmente, como es el caso de una amenaza identificada por ESET que se hace pasar por Amazon.
También es posible que los criminales recurran a mensajes que apelen al sentido de urgencia, incentivando al usuario a que escanee el código QR para evitar, por ejemplo, la suspensión de una de sus cuentas.
Una vez que es escaneado el QR, puede redirigir a la víctima a un sitio web malicioso para robarle datos personales o información sensible.
Los especialistas en materia de ciberseguridad alertan que los portales apócrifos pueden llevar a los usuarios a un sitio que simula ser el de un banco para solicitar sus credenciales bancarias. Otra opción es que mediante el código QR se descargue malware en el dispositivo.