En la actualidad es habitual encontrar códigos QR en diversos establecimientos, desde restaurantes, donde se usan para consultar el menú, hasta tiendas que los emplean para dirigir a los clientes a sus páginas web. Recordemos que esta tecnología ganó popularidad durante la pandemia de covid-19, ya que facilitaba la minimización del contacto físico. No obstante, el auge de los códigos QR también ha abierto la puerta a un tipo de fraude cibernético conocido como quishing.
Primero, es importante entender qué es un código QR. Las siglas QR provienen del inglés quick response, que se traduce como ‘respuesta rápida’. Según explica la firma de ciberseguridad Kaspersky en su blog, el código QR es una evolución del código de barras tradicional, que está diseñado para almacenar información digitalizada que puede ser leída rápidamente mediante un lector QR.
Los códigos QR, en comparación con los códigos de barras tradicionales, pueden almacenar más datos, son menos propensos a errores y se leen fácilmente desde dispositivos como los celulares.
LEA MÁS: Bancos recomiendan precaución al usar códigos QR de información o pagos en compras
Y no obstante sus ventajas y su amplia adopción en diversas industrias, estos códigos también han sido explotados por actores maliciosos para cometer ciberestafas. El Comercio de Perú conversó con Fabiana Ramírez Cuenca, especialista en seguridad informática de Eset Latinoamérica, para explorar esta modalidad de fraude conocida como quishing.
Qué es el ‘quishing’
La especialista explica que el término quishing se deriva de la combinación de las palabras QR y phishing, debido a las similitudes entre ambas formas de estafa. Mientras que el phishing tradicionalmente engaña a las víctimas para robar sus datos personales a través de enlaces directos enviados por correo electrónico o mensajes, el quishing emplea códigos QR para el mismo propósito. “En lugar de recibir un enlace directo (...), los cibercriminales utilizan códigos QR”, sostiene. Estos códigos, al ser escaneados, pueden redirigir a los usuarios a páginas web fraudulentas o incluso descargar software malicioso en los dispositivos de las víctimas.
En el caso de las páginas web a las que redirige el quishing, estas suelen imitar a sitios legítimos, solicitando a los usuarios que ingresen datos personales como nombres de usuario, contraseñas, números de tarjeta de crédito o información bancaria. El objetivo de estos delincuentes es utilizar la información robada para realizar actos ilícitos como transacciones financieras no autorizadas o robo de identidad.
Ahora bien, la principal diferencia entre el quishing y el phishing es que con el código QR no podemos ver el enlace al cual nos redirige. “Nos perdemos la oportunidad de examinar bien cuál es el enlace. Justamente, la finalidad del QR es no pasar por esta etapa, por lo que es una manera de ocultar mejor el objetivo del cibercriminal”, agrega la experta. Y una de las señales de alerta frente a una amenaza cibernética suele ser el contenido sospechoso de la dirección web.
¿Dónde suelen ser distribuidos? Ramírez explica que los códigos QR fraudulentos pueden encontrarse en una variedad de contextos, tanto digitales como físicos: en lugares públicos como carteles, folletos o tarjetas de visita; en páginas web legítimas a través de anuncios maliciosos, y por correo electrónico o mensajes, a menudo disfrazados como comunicaciones legítimas de empresas conocidas.
Casos
Ahora revisemos algunos casos que ilustran cómo opera esta modalidad de estafa.
En febrero de este año, un usuario reportó a través de X que recibió un correo postal con el logo de Amazon. El correo ofrecía instrucciones para reclamar un cupón de descuento, instando al usuario a escanear un código QR adjunto. Este QR llevaba a una página aparentemente legítima de la plataforma de comercio electrónico, donde se solicitaba iniciar sesión para introducir el código proporcionado por los estafadores y así obtener el supuesto premio.
Sin embargo, se trataba de una ciberestafa. La página web no era el dominio real de Amazon, por lo que en caso de ingresar sus datos, el usuario habría entregado sus credenciales a los cibercriminales.
Como informa la publicación digital especializada en software, internet y servicios web Genbeta, otro caso ocurrió cuando un usuario creyó que estaba pagando la tarifa del parqueadero. Él escaneó un código QR adherido al suelo del parqueadero e ingresó la información requerida en la página a la que fue redirigido. Sin embargo, tras completar el proceso, descubrió con sorpresa que $16.000 habían desaparecido de su cuenta bancaria.
En otro incidente, un ciudadano de Singapur utilizó una aplicación de terceros para escanear un código QR en una máquina de reciclaje. Él fue redirigido a una página web que ofrecía créditos a cambio de reciclar. Y para recibirlos, la página solicitó la información de su tarjeta de crédito. Sin embargo, el ciudadano no recibió ninguna recompensa, pero sí notó un descuento no autorizado de $40 en su tarjeta, una cantidad considerablemente menor en comparación con el caso anterior.
Como explica la experta Fabiana Ramírez, en el quishing los cibercriminales ocultan en los códigos QR “direcciones web que conducen a sitios falsos, descargas de aplicaciones no confiables, archivos maliciosos o páginas donde se solicita información personal”.
Cómo evitar el ‘quishing’
Para evitar caer en la trampa del quishing es fundamental adoptar algunas medidas de seguridad y seguir prácticas recomendadas por la experta en ciberseguridad de Eset:
– Use un escáner de códigos QR con funcionalidades de seguridad: opte por aplicaciones de escaneo de QR que tengan la capacidad de detectar redirecciones maliciosas.
– Instale y mantenga actualizado un software antivirus: aunque un antivirus no siempre puede analizar directamente un código QR, sí puede detectar y detener descargas maliciosas o accesos a enlaces peligrosos después de escanear un QR.
– Revise de dónde viene el código QR: antes de escanear un código QR, piense en su origen. Si lo recibió por un correo sospechoso o de alguien desconocido, ya que podría ser una trampa.
– Mire detenidamente la URL: después de escanear el código QR, puede que vea una dirección web. Tómese un momento para revisarla antes de hacer clic. Asegúrese de que se vea normal y no contenga elementos raros.
– Infórmese y sea consciente: conocer más sobre cómo operan los estafadores le ayudará a detectar estafas. Aprender a identificar señales de alerta en correos electrónicos y enlaces puede prevenir problemas.
Sobre este último punto, la experta de Eset profundiza que algunas de las señales de alerta que el usuario debe notar tienen que ver con revisar la procedencia del código QR. Por ejemplo, si un código le llega por WhatsApp o mensaje de texto, y le ofrece promociones o le pide hacer clic por alguna razón urgente, debe tener cuidado.