“Uno de los últimos trucos consiste en utilizar técnicas de suplantación de identidad mediante códigos QR, conocidas como “quishing”, para espiar o robar datos de pago. De hecho, no es muy diferente de los trucos que utilizan códigos QR falsos en los parquímetros, y quienes conducen vehículos eléctricos deben tener cuidado con este tipo de amenaza en las estaciones de recarga.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El quishing resulta de la mezcla entre las palabras phishing y código QR. Los estafadores colocan códigos QR falsos sobre los auténticos. Cuando estos son escaneados, llevan a las víctimas a un sitio de phishing para recoger sus credenciales/información o descargar malware.

Te puede interesar: Quishing en Colombia: cómo protegerse de esta estafa

En este caso, los delincuentes encontraron una forma de adaptar la estafa a la nueva moda de los vehículos eléctricos que recorre el mundo. Según informes del Reino Unido, Francia y Alemania, los estafadores están pegando códigos QR maliciosos encima de los legítimos en las estaciones de recarga públicas. El código debe llevar a los usuarios a un sitio web donde pueden pagar la electricidad al operador de la estación (por ejemplo, Ubitricity).

Sin embargo, si escanean el código falso, serán conducidos a un sitio de suplantación de identidad similar que les pedirá que introduzcan sus datos de pago, que serán recopilados por los ciberdelincuentes. Se afirma que el sitio correcto se cargará en el segundo intento, para garantizar que las víctimas puedan finalmente pagar por el cargo. En algunos informes también sostienen que los ciberdelincuentes podrían estar utilizando tecnología de interferencia de señal para impedir que las víctimas utilicen sus aplicaciones de recarga y obligarlas a escanear el código QR malicioso.

Por ahora este tipo de estafas parecen quedarse en Europa, sin embargo es momento de tomar medidas contra este tipo de prácticas delictivas antes de que sea tarde.

Imagen: Pixabay

El término ‘quishing’combina “QR”, códigos de información desde donde acceden los ciberdelincuentes, y “phishing” por la similitud que tiene con este tipo estafa, donde los ciberdelincuentes envían correos fraudulentos para obtener datos personales. En este caso, el quishing funciona de la misma forma pero explotando los códigos QR con fines maliciosos.

Cómo opera el Quishing

Según Mauricio Galvez, gerente de servicios de ciberseguridad en TIVIT LATAM, los }atacantes que realizan quishing siguen un modus operandi detallado. Primero, crean códigos QR maliciosos que, al ser escaneados, redirigen a los usuarios a sitios web falsos que parecen legítimos. 

Estos códigos QR pueden distribuirse de varias formas: impresos y colocados en lugares públicos, enviados por correo electrónico, o incluso incrustados en anuncios tanto en línea como fuera de línea.

Te puede interesar: ¡Malas noticias! habrían aumentado las estafas phishing debido a la Inteligencia Artificial

Cuando un usuario desprevenido escanea el código QR, es dirigido a un sitio web que le solicita ingresar información personal, como nombres de usuario, contraseñas o detalles de tarjetas de crédito. Una vez que se ingresan estos datos, los atacantes los capturan para utilizarlos en fraudes financieros, robo de identidad o venderlos en mercados clandestinos.

Medidas preventivas contra el Quishing

Para combatir esta amenaza, el experto de TIVIT ofrece varias recomendaciones. Es crucial verificar el origen de un código QR antes de escanearlo, especialmente en lugares públicos no verificados. Utilizar aplicaciones de seguridad que escaneen códigos QR y muestren la URL antes de redirigir también puede ayudar a confirmar si un sitio es seguro.

La educación y la conciencia juegan un papel vital. Mantenerse informado sobre las últimas amenazas cibernéticas y educar a amigos y familiares sobre los peligros potenciales del quishing es esencial. Además, los usuarios deben verificar cuidadosamente las URL de los sitios web a los que acceden a través de códigos QR, prestando atención a errores ortográficos o dominios sospechosos

Es recomendable no ingresar información sensible en sitios web accedidos a través de códigos QR sin antes verificar su autenticidad. “El quishing es uno de los ciberataques más comentados con razón, pues evoluciona constantemente y encuentra nuevas formas de explotar la naturaleza humana de los usuarios”, explica Galvez. Siguiendo estas recomendaciones, se pueden minimizar los riesgos y proteger los datos personales y críticos de los empleadores en esta era digital.

Imagen: Marielle Ursua