¿Qué es el Quishing?
La expresión «quishing» es una combinación del término «phishing» y la abreviatura «QR» y describe los ataques de phishing a través de un código QR.
Digresión: ¿Qué es un código QR? QR son las siglas de «Quick Response» (respuesta rápida). Es un código bidimensional con el que se muestra información de forma muy abreviada y que se recupera escaneando el código QR. Los códigos pueden leerse con la cámara de un smartphone. Los códigos de barras de los supermercados funcionan de forma similar. Sin embargo, el código QR puede procesar más información. Así, el usuario puede ser dirigido a páginas de inicio, imágenes, vídeos, archivos de texto, etc.
¿Cómo se utiliza un código QR?
¿Cómo lo hacen los ciberdelincuentes?
La motivación de los delincuentes en el quishing no difiere de la de otros métodos de phishing. También en este caso, el objetivo es tentar al usuario para que realice acciones rápidas y precipitadas. De este modo, los atacantes quieren obtener información confidencial y personal y/o instalar malware en los sistemas de las personas objetivo. Al igual que en el phishing convencional, se utilizan desencadenantes: Se sugiere urgencia, se pide al usuario que tenga cuidado o se despierta la curiosidad ofreciendo conocimientos exclusivos u ofertas especiales.
Por ejemplo, puede recibir correos electrónicos con códigos QR sobre nuevas ofertas, determinados servicios adicionales o gangas que sólo son válidas para usted y sólo durante un breve periodo de tiempo.
O recibirá un mensaje pidiéndole que actualice sus datos de acceso. Con el código QR, se le redirige rápida y fácilmente al sitio web correspondiente del supuesto proveedor. También es posible que le pidan que descargue documentos o determinados archivos.
Si las víctimas caen en el intento de quishing y siguen la indicación de escanear el código QR, pueden descargar inmediatamente malware o introducir datos sensibles en un sitio web falso, que de este modo también cae en manos de los ciberdelincuentes. Los atacantes pueden entonces utilizar la información para sus fines delictivos, por ejemplo accediendo a ordenadores, redes y sistemas o enviando malware a los archivos de contactos capturados.
¿Qué datos están en el punto de mira?
La información personal, los datos de los clientes, los datos de los usuarios, los datos de acceso y también los datos de pago son especialmente interesantes para los actores de amenazas. Los piratas informáticos utilizan los códigos QR para dirigir a los usuarios a sitios web fraudulentos. Si allí se introducen el nombre de usuario y la contraseña, también son conocidos por los ciberdelincuentes. Si además las víctimas introducen datos de pago, esta información también cae en manos de los ciberdelincuentes.
¿Dónde se puede encontrar el quishing en la vida cotidiana?
En principio, en todas partes. El uso y la aceptación de los códigos QR están aumentando de forma masiva. Dado que pueden utilizarse de forma fácil, rápida y sin contacto, cada vez más empresas optan por utilizar códigos QR. El método también es cada vez más popular entre los usuarios. Cada vez más personas saben utilizarlos y escanean los códigos para recuperar ofertas, datos de contacto, información, avisos de actualidad, horarios o similares. Los piratas informáticos se aprovechan de ello. Aunque los correos electrónicos de phishing convencionales o el smishing (phishing a través de SMS) siguen estando más extendidos en la actualidad, el quishing es una amenaza creciente.
La BSI (Oficina Federal Alemana de Seguridad de la Información) advierte actualmente contra este tipo de ataques porque, por un lado, la URL que hay detrás de los códigos QR es difícil de reconocer para los empleados. Por otro lado, los filtros de spam ya reconocen hoy en día un gran número de correos electrónicos de phishing, pero los códigos QR siguen planteando dificultades a los filtros. Las soluciones de seguridad informática analizan los archivos adjuntos y las URL para filtrar los mensajes de phishing. Sin embargo, un código QR suele percibirse como un archivo de imagen inofensivo, por lo que supera las medidas de protección.
Ejemplo práctico:
En la actualidad, se está «aplastando» en nombre de Microsoft -concretamente el servicio en la nube Microsoft 365-. En un primer paso, se aprovechan los datos de los usuarios. En el segundo paso, los usuarios afectados son redirigidos a una página de inicio de sesión de Microsoft 365 falsa, pero que parece increíblemente real. Aquí se interceptan los datos de acceso, que se utilizan para otros ciberataques.
¿Cómo protegerse del quishing?
- No escanee los códigos QR que aparecen en los correos electrónicos de remitentes desconocidos o poco fiables.
- Utilice un escáner QR que le muestre a qué página se le redirige. Hoy en día, las cámaras de todos los smartphones comunes llevan integrado un escáner QR. Le mostrará a qué URL se le redirige. Haz clic sólo en las páginas en las que confíes.
- Sospecha si un contacto conocido te envía de repente un código QR en un correo electrónico sin explicación cuando nunca antes había sido así. Coger el teléfono y hacer una llamada rápida ayudará a aclararlo.
- Si no está seguro, también puede abrir el sitio web correspondiente por separado en el navegador y seguir las indicaciones que allí se dan en lugar de escanear el código QR. Así podrás comprobar la autenticidad del mensaje y estar seguro en cualquier caso.
Nuestro consejo:
Los teléfonos inteligentes forman parte de la vida laboral cotidiana de muchas personas. Tanto si se dispone de un smartphone de empresa como si se utiliza el propio para el trabajo, las normas de seguridad de los dispositivos móviles deben definirse y ponerse a disposición de todos los empleados. Debe regularse claramente para qué fines puede utilizarse el teléfono inteligente. Además, el smartphone debe cumplir las normas de seguridad vigentes. Las actualizaciones de seguridad importantes deben realizarse siempre con prontitud y debe utilizarse la autenticación de dos factores o multifactorial si tiene sentido y es posible.