QR コードフィッシングの脅威 - 読み取る前に確認すべきこと

Lectura de 13 min aprox.

Los códigos QR se utilizan ahora en prácticamente todos los aspectos de la vida diaria - menús de restaurantes, entradas para eventos, pagos y conexiones Wi-Fi. La comodidad de simplemente apuntar la cámara del teléfono es atractiva, pero los atacantes explotan cada vez más esta facilidad de uso. El "Quishing" (phishing con códigos QR) es una técnica que dirige a los usuarios a sitios maliciosos a través de códigos QR falsos, robando credenciales e información personal. Este artículo explica las tácticas específicas del quishing, dónde se colocan los códigos QR falsos y cómo verificar los códigos QR de forma segura antes de escanearlos.

Cómo funciona el Quishing

Superposición de códigos QR legítimos

La técnica de quishing más común consiste en colocar una pegatina con un código QR falso sobre uno legítimo. Los parquímetros, las mesas de restaurantes y los tableros informativos de instalaciones públicas son objetivos - lugares donde la gente escanea sin sospechar. Los atacantes crean pegatinas de aspecto realista y simplemente las pegan sobre el código QR original. Como se trata de una manipulación física, las herramientas de seguridad digital no pueden detectarla.

Cuando las víctimas escanean el código QR falso, son dirigidas a un sitio de phishing que se asemeja mucho al servicio legítimo. Si ingresan credenciales de inicio de sesión o números de tarjeta de crédito allí, la información va directamente al atacante. A diferencia de los correos de phishing tradicionales, los códigos QR dificultan la verificación visual de la URL antes de visitarla, lo que hace más difícil que los usuarios noten algo sospechoso.

Incrustación en correos electrónicos y documentos

Otra técnica importante consiste en incrustar códigos QR en correos de phishing o materiales impresos. Mensajes como "Por favor escanee el siguiente código QR para una actualización de seguridad" o "Escanee aquí para verificar el estado de su entrega" incitan a los usuarios a escanear. Mientras que los filtros de seguridad de correo pueden inspeccionar enlaces URL, a menudo no pueden detectar URLs incrustadas en imágenes de códigos QR, dando ventaja a los atacantes.

Dónde se colocan los códigos QR falsos

Ejemplos en espacios públicos

Los atacantes prefieren ubicaciones de alto tráfico. Los parquímetros son objetivos particularmente comunes porque los usuarios suelen tener prisa y omiten la verificación. Los códigos QR de menús en mesas de restaurantes y cafeterías también son objetivos. Desde que la pandemia normalizó los menús sin contacto, las personas se han vuelto menos cautelosas al escanear códigos QR, aumentando las tasas de éxito de los ataques.

Los horarios de transporte público, tableros de información turística, estaciones de bicicletas compartidas y puntos de carga de vehículos eléctricos también son objetivos. En estas ubicaciones, los usuarios creen que escanear el código QR es "necesario" para usar el servicio, creando una situación donde es poco probable que cuestionen incluso un código falso. Los atacantes explotan hábilmente esta relación de confianza.

Distribución en espacios digitales

Los códigos QR falsos circulan no solo en ubicaciones físicas sino también en publicaciones de redes sociales, aplicaciones de mensajería y anuncios en línea. Vienen con mensajes como "cupón exclusivo," "has ganado un premio," o "se requiere verificación de cuenta." En las redes sociales en particular, las cuentas de amigos de confianza pueden ser secuestradas para difundir códigos QR falsos, y los ataques sofisticados que combinan ingeniería social están aumentando.

Cómo escanear códigos QR de forma segura

Verificación física antes de escanear

Antes de escanear un código QR, primero verifica su condición física. Busca pegatinas colocadas encima, bordes despegados o diferencias de textura con el material circundante. Los códigos QR legítimos generalmente están impresos directamente en carteles o pósters. Las pegatinas colocadas encima probablemente indican manipulación y no deben escanearse.

Si algo parece sospechoso, preguntar al personal es el enfoque más confiable. Simplemente preguntar "¿Este código QR es legítimo?" puede prevenir daños potenciales. Para códigos QR relacionados con pagos en particular, acceder directamente a través de la aplicación oficial es más seguro.

Cómo verificar las vistas previas de URL

La mayoría de las aplicaciones de cámara de teléfonos muestran una vista previa de la URL al escanear un código QR. Usa esta función y siempre verifica la URL antes de abrir el enlace. Comprueba si es un dominio legítimo, si hay errores ortográficos y si se incluyen subdominios sospechosos. Por ejemplo, "paypa1.com" (número 1 en lugar de letra l) o "amazon-security-verify.com" son dominios falsos típicos.

Ten especial cuidado con las URLs acortadas (bit.ly, t.co, etc.). Las URLs acortadas pueden ocultar el destino final, facilitando su abuso por parte de atacantes. Si es posible, usa un servicio de expansión de URLs para verificar el destino real, o evita escanear por completo y accede directamente al sitio oficial. Para más información sobre tácticas de phishing en general, consulta nuestra guía integral de protección contra phishing.

Medidas defensivas para organizaciones e individuos

Hábitos que los individuos deben practicar

Para protegerte del phishing con códigos QR, desarrolla varios hábitos clave. Primero, si te piden ingresar credenciales o información personal después de escanear un código QR, detente y piensa. Para servicios legítimos, puedes garantizar la seguridad accediendo a través de la aplicación oficial o marcadores. Además, habilitar la autenticación de dos factores previene el acceso no autorizado incluso si tu contraseña se ve comprometida.

Usar un gestor de contraseñas también es una contramedida efectiva. Los gestores de contraseñas verifican estrictamente los dominios, por lo que el autocompletado no funcionará en sitios de phishing. Si notas que el autocompletado no funciona, es una señal importante de que podrías estar en un sitio falso. Para más información sobre seguridad de smartphones en general, <AmazonLink keyword="スマホ セキュリティ" locale={locale} className="amazon-inline-link">libros de seguridad para smartphones (Amazon)</AmazonLink> también son referencias útiles.

Contramedidas organizacionales

Las organizaciones que usan códigos QR en sus operaciones deben establecer un sistema para verificar regularmente si sus códigos QR han sido manipulados. Además, mostrar la URL legítima junto al código QR da a los usuarios la opción de acceder manualmente. Para los empleados, realiza capacitación en seguridad que incluya tácticas de quishing y establece un sistema para reportar códigos QR sospechosos.