Estafa de infracción de tránsito no es la única: ¿qué es el “quishing” y cómo cuidarte de los códigos QR falsos?

| 10:52 | Alfredo Narváez | ESET | MPFS
¡Cuidado con las diferentes estafas con códigos QR!
¡Cuidado con las estafas de “quishing” con códigos QR! | Fotos: ESET

El Ministerio Público Fiscal de la Provincia de Salta (MPFS), en Argentina, alertó el jueves 21 de noviembre por una nueva modalidad de estafa en la que los automovilistas encuentran en sus parabrisas supuestas multas de tránsito, en las que deben escanear un código QR para visualizarlas, sin saber que se trata de una maniobra fraudulenta.

“Se detectó, en Salta, la existencia de casos de supuestas multas de tránsito, dejadas en los parabrisas de automóviles estacionados en la vía pública, donde el supuesto infractor, debe escanear un código QR para visualizarla, lo que constituiría una maniobra fraudulenta. Aún no se radicaron denuncias”. 

MPFS
El MPFS no compartió esta imagen, sino que circulo en redes sociales
El MPFS no compartió esta imagen, sino que circulo en redes sociales | Foto: ESET

La fiscal penal especializada en Ciberdelincuencia, Sofía Cornejo, advirtió a la comunidad sobre esta nueva modalidad denominada “quishing” o “qrshing“, de la cual ya existían casos registrados por la empresa de ciberseguridad ESET.

[TE RECOMENDAMOS: No caigas: falso aviso de infracción vehicular con QR podría vaciar tu cuenta]

ESET advierte por la estafa de multas de tránsito y otros fraudes de quishing

Luego de la advertencia del MPFS, ESET precisó en redes sociales que el código QR para ver una supuesta infracción de tránsito ya se encuentra inactivo; sin embargo, al abrirlo redireccionaba a un sitio malicioso.

Múltiples usuarios reportaron que el engaño vía códigos QR utilizando las infracciones de tránsito también se llevaron a cabo en Brasil, España y Chile, según la compañía de seguridad informática.

La compañía difundió la imagen de un usuario de Viña del Mar, Chile, quien compartió el ticket de una supuesta multa falsa que también contiene un código QR.

Ejemplo de una multa de tránsito con un código QR en Chile
Ejemplo de una multa de tránsito con un código QR en Chile | Imgen: X (@ESETLA)

Hasta el momento, ni las autoridades mexicanas ni la empresa de ciberseguridad han reportado casos o denuncias de esta modalidad de “quishing” en México.

Sin embargo, este no es el único caso de “quishing” del que se tiene registro, pues el pasado 31 de octubre, ESET advirtió en un comunicado por dos estafas que detectaron en Latinoamérica e involucraban a Amazon y Microsoft.

Los atacantes usaban técnicas de ingeniería social para convencer a la víctima para escanear un código supuestamente legítimo para obtener algún beneficio. Para lograrlo, se hacían pasar por empresas o marcas reconocidas mundialmente.

En este caso, ESET compartió la imagen de una supuesta tarjeta de regalo de Amazon por 50 dólares a la que se tenía que acceder mediante un código QR.

Los criminales también recurrían a mensajes que apelaban al sentido de urgencia, incentivando al usuario a escanear el código QR para evitar la suspensión de su cuenta de Microsoft.

ESET no detalló qué sucedía después de escanear los códigos QR a nombre de Amazon y Microsoft; no obstante, brindó un perfil de la modalidad con las modalidades y consecuencias comunes del “quishing” o “qrishing“.

[TE PODRÍA INTERESAR: Cuidado con el quishing, una nueva forma de estafa que usa códigos QR para engañarte]

¿Qué es y cómo funcionan los ataques de “quishing” o “qrishing”?

El “quishing” es una técnica de “phishing” que se vale de códigos QR para engañar a los usuarios, y que éstos revelen sus datos personales y cualquier otro tipo de información sensible, o bien para redirigirlos a un sitio web malicioso, describió ESET en octubre.

“Básicamente funciona de la misma manera que los ataques de phishing tradicionales, con la diferencia que en vez de valerse de un correo electrónico o un SMS con un enlace malicioso, necesita que la víctima escanee el código QR apócrifo”.

ESET

Cuando la víctima accede al QR, puede llevarla a un sitio que simule ser el de un banco, y solicitar sus credenciales bancarias. “Otra opción es que mediante el código QR se descargue malware en el dispositivo”, advirtió ESET en su comunicado.

Posteriormente, a raíz de la advertencia por la falsa multa de tránsito, los expertos de la empresa de ciberseguridad también precisaron que los criminales pueden robar dinero de la víctima o hacerla descargar una app maliciosa.

¿Cómo protegerse de los códigos QR maliciosos?

Luego del más reciente caso reportado de quishing, la compañía de seguridad digital recomendó a los usuarios latinoamericanos que, en caso de encontrarse con un código QR de manera inesperada o sospechosa, debe seguir estas recomendaciones:

  • No escanees códigos QR que lleguen de manera inesperada o de algún desconocido y prometan beneficios sustanciosos para evitar posibles inconvenientes.
  • No brindes ningún tipo de dato si se abre un sitio web con un formulario
  • No descargues nada que provenga del código QR, pues puede ser una app maliciosa
  • Recurre a los canales oficiales de comunicación de las empresas u organizaciones en cuestión para confirmar la validez del código.

Previamente, los especialistas también recomendaron utilizar alguna aplicación que permita previsualizar la URL a la que deriva el código QR, con el objetivo de confirmar si es segura o no.

Cabe destacar que el Ministerio Público Fiscal de la Provincia de Salta también recomendó evitar realizar pagos rápidos mediante QR, en caso de que lo solicite.

Finalmente, el ministerio público argentino hizo un llamado a conservar el papel o la página en la que se encuentre el código como evidencia para, posteriormente, hacer la denuncia con las autoridades correspondientes.

Etiquetas: , ,