7 consejos para identificar el QRishing y ser capaces de evitarlo

“Engañar a una persona siempre es más fácil que hacerlo a una máquina”. A partir de esta premisa se sustenta el phishing y las diferentes artimañas que emplean los ciberdelincuentes para estafar o robar información de los ciudadanos. La ingeniería social se ha establecido como la técnica predilecta de los ciberdelincuentes para ganarse la confianza de los usuarios y que así haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas o comprar en sitios web fraudulentos.

En los últimos años, el phishing se ha convertido en una de las principales amenazas tanto para las organizaciones como para la ciudadanía. Sin embargo, no es el único peligro al que se enfrenta la población ya que los ciberdelincuentes disponen de un amplio conjunto de técnicas de ingeniería social para conseguir sus objetivos. Así pues, el Spear Phishing, el Whaling, el Smishing o el QRishing son algunas de las tácticas más populares.

Desde la pandemia y con el fin de reducir el contacto con soportes físicos, los códigos QR han ganado protagonismo en restaurantes, bares o la Administración Pública. Conscientes de este auge, los ciberdelincuentes han centrado sus esfuerzos en impulsar el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y hacer que acceda a enlaces o aplicaciones maliciosas, para así obtener su información privada o empujarla a llevar acciones no consentidas.

Algunos ejemplos de ello ocurren a diario en multitud de ocasiones, a través de pasarelas de pago falsas; con un QR que conduce a una web falsa para el pago de una sanción; mediante la Instalación de malware; llevando enlaces a webs que suplantan páginas reales (web spoofing) para que facilites datos personales o incluso colocando pegatinas encima el código QR real en un establecimiento comercial.

“El auge de este tipo de ingeniería social se debe a que los códigos QR permiten un acceso rápido a información variada, como enlaces a sitios web, menús en restaurantes, pagos sin contacto o seguimiento de productos. De este modo, debido a la facilidad de uso, la accesibilidad a través de dispositivos móviles y su capacidad para brindar información instantánea su uso se ha democratizado entre la ciudadanía sin tener en cuenta las posibles amenazas”, señala José Luis Ardisana, analista de inteligencia del centro de operaciones de seguridad de Seresco. 

7 claves para identificar el QRishing

En este contexto, Seresco ha recogido 7 aspectos a tener en cuenta por el usuario para identificar el QRishing y ser capaz de evitarlo:

Verifica la fuente. Antes de escanear un código QR, hay que asegurarse de que provenga de una fuente confiable. Evita escanear códigos QR de fuentes desconocidas, como pegatinas en lugares públicos o mensajes no solicitados, ya que estos están más expuestos y más sencillo de manipular.

Inspecciona el código. Analiza el QR antes de escanearlo. Si parece haber sido alterado o parece sospechoso, evita leerlo. Algunos códigos QR maliciosos pueden contener errores o redireccionar a URL sospechosas que, si se está atento, pueden ser reconocidos y hacer saltar las alarmas.

Utiliza una app de confianza. Asegúrate de utilizar una aplicación de escaneo de códigos QR de confianza, preferiblemente descargada desde fuentes oficiales como la App Store, Google Play o Google Lens, que se integra en las cámaras de muchos dispositivos. Algunas aplicaciones de terceros podrían no ser seguras y comprometer la integridad de tu dispositivo.

Mantén tu software actualizado. Actualiza regularmente tu teléfono y las aplicaciones que utilizas, ya que las actualizaciones suelen contener parches de seguridad que pueden protegerte de posibles vulnerabilidades.

Desconfía de las solicitudes de información sensible. Suena obvio, pero no proporciones información personal sensible después de escanear un código QR, a menos que estés seguro de la autenticidad del sitio web al que te redirige.

Usa una solución de seguridad. Considera la posibilidad de utilizar soluciones de seguridad en tu dispositivo, como aplicaciones antivirus o antimalware, para detectar amenazas potenciales que puedan surgir de los códigos QR.

Reporta actividad sospechosa. Si encuentras un código QR o una actividad sospechosa, notifícalo a las autoridades pertinentes o a la compañía responsable para que puedan tomar medidas lo antes posible.