16 de enero de 2025

Quishing: cómo protegerte del phishing a través de códigos QR

Durante la pandemia de COVID-19, el uso de los códigos QR (o BIDI) se disparó, convirtiéndose en una herramienta clave para minimizar el contacto físico. Facilitaron el acceso a menús digitales en restaurantes, la entrada a eventos y la verificación de certificados de vacunación.

 

¿Qué es un código QR?

Los códigos QR (Quick Response code) fueron creados en 1994 por la compañía japonesa Denso Wave, una subsidiaria de Toyota. Su objetivo inicial era mejorar el seguimiento de piezas en la fabricación de automóviles, ya que podían almacenar más información que los códigos de barras tradicionales y ser escaneados más rápidamente desde cualquier ángulo.

 

Un código QR es un tipo de código de barras bidimensional que almacena información en un patrón de módulos contrastados. Su diseño responde a su función de ofrecer rapidez, precisión y capacidad de almacenamiento:

  • Estructura cuadrada: maximiza la densidad de información en un espacio pequeño, permitiendo almacenar más datos que los códigos de barras tradicionales.
  • Tres marcadores de posición: los cuadrados grandes en las esquinas permiten a los dispositivos identificar la orientación del código (la esquina que no tiene cuadrado grande se sitúa abajo a la derecha), facilitando el escaneo desde cualquier ángulo.
  • Patrón de módulos blancos y negros (habitualmente): este contraste claro asegura que los escáneres puedan leer la información con precisión, incluso en condiciones de poca luz.
  • Capacidad de corrección de errores: los códigos QR pueden restaurar hasta el 30% de los datos en caso de daño o suciedad. Esto se logra mediante un sistema de redundancia incorporado, que significa que la información no se almacena de manera directa en todo el código, sino que se distribuye en varias partes del mismo.

 

Tu móvil normalmente incluye una aplicación nativa para escanear códigos QR. Si no la tienes, puedes instalar una aplicación gratuita. Al escanear la imagen, tu dispositivo te dará información sobre el contenido. Por ejemplo, si escaneas la imagen anterior, verás que se trata de un enlace a www.acens.com.

 

Los códigos QR se pueden utilizar para almacenar información como:

  • URL: dirigen a los usuarios a sitios web o recursos en línea.
  • Información de contacto: proporcionan vCards para guardar contactos fácilmente.
  • Texto: muestran mensajes de texto simples.
  • Direcciones de correo electrónico: abren clientes de correo electrónico con direcciones de destinatarios, asunto o incluso mensaje predefinidos.
  • Números de teléfono: solicitan al usuario que realice una llamada telefónica.
  • Detalles de la red Wi-Fi: permiten a los usuarios conectarse a redes Wi-Fi mediante escaneo.
  • Información de pago: facilitan los pagos y las transacciones móviles.

 

¿Qué es el Quishing?

El quishing consiste en engañar a alguien para que escanee un código QR falso con su dispositivo. Este phishing con código QR suele llevar al usuario a un sitio web fraudulento, ya sea para que se instale malware o para pedir información confidencial (como los datos de la tarjeta de crédito o credenciales de inicio de sesión).

 

Los códigos QR suelen colocarse en máquinas de aparcamiento, puntos de carga, correos electrónicos e incluso menús de restaurantes. Una vez escaneados, te llevarán a una web falsa en la que introducirás tus datos de forma inocente, pensando que estás pagando por un servicio o visitando la plataforma correcta, cuando en realidad estás compartiendo todos tus datos personales con los estafadores. Por ejemplo, puede ser una multa falsa de estacionamiento que han dejado en tu coche, en la que recibes un descuento por pronto pago si escaneas el código QR…

 

Consejos para protegerte del quishing

Imagina que recibes un email de Recursos Humanos que incluye un QR con tu última nómina. Tu primer pensamiento es escanearlo para ver cuánto has cobrado, pero ojo, primero debes desconfiar y verificar que se trata del email de RRHH, y sospechar si esa no es la forma habitual en que la envían (más aún si previamente no han avisado de que lo van a hacer así).

 

A la hora de descargar una app puedes buscarla desde la tienda oficial de Google o Apple, aunque lleve más tiempo es más seguro, o buscar el teléfono de una empresa por internet en lugar de escanear el código QR para llegar allí. Ten en cuenta todo esto al escanear un código QR:

  • Verifica el origen: asegúrate de que provenga de una fuente confiable.
  • Revisa el enlace: cuando tu dispositivo muestre la URL antes de abrirla, si la dirección parece sospechosa no la abras (por ejemplo si no utiliza conexión HTTPS). Puedes utilizar la web de virustotal para analizar urls si tienes dudas.
  • Evita los QR en lugares públicos sin contexto: si encuentras un código QR en un póster, mesa o folleto sin identificación clara, ten cuidado, podría ser una trampa (comprueba que no se ha pegado sobre el original).
  • Desconfía de las gangas: un QR que promete un mes gratuito de ChatGPT Premium, otro donde te ha tocado un viaje a Japón, que si un amigo te manda un código para que recibas un Bizum… sospecha de todo lo que se salga de lo habitual.
  • Activa medidas de seguridad: mantén tu dispositivo actualizado y utiliza un antivirus para evitar descargas no autorizadas.
  • Activa la autenticación de dos factores: capa adicional de seguridad evita el acceso no autorizado a tus cuentas, incluso si un ciberdelincuente obtiene tus credenciales. Por eso no aceptes notificaciones de autenticación en tu teléfono a menos que hayas iniciado un intento de acceso a la cuenta.

 

Formar a los empleados reduce el quishing

Para el estudio ‘The Hoxhunt Challenge’ se desarrolló una prueba de phishing empresarial, que consistió en enviar por email códigos QR reales que al escanearlos llevaban a un sitio web malicioso ficticio, a casi 600.000 empleados de distintos niveles de antigüedad. Entre los resultados más destacados se incluyen:

  • Sólo el 36% de los destinatarios identificaron y denunciaron con éxito el ataque de phishing simulado.
  • La industria minorista tuvo la tasa de errores más alta, con solo 2 de cada 10 empleados identificando y denunciando con éxito los códigos QR sospechosos.
  • Se descubrió que los empleados con roles de comunicaciones tenían 1,6 veces más probabilidades de sufrir un ataque de código QR.

 

Por otro lado, el estudio demostró que educar reduce el riesgo de factor humano: los empleados que recibieron formación al comenzar en la empresa detectaron más quishing que los que no la recibieron. Esto evidencia que el proceso de incorporación no es sólo una formalidad, sino una parte realmente importante para garantizar el buen funcionamiento de una empresa en el mundo digital.

 



Entradas relacionadas


  1. Guía de uso: descubre las funcionalidades del nuevo panel de clientes acens
  2. “Cobrábamos 30.000 euros por una landing page y por adelantado”, Luis Monge Malo
  3. Inscríbete gratis a la Masterclass online y en directo de Tu Boletín (20 noviembre 2018)
  4. acens presentó su plan para impulsar el Canal de Partners a la prensa especializada

Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!

Logotipo de acenews

Leer condiciones

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Leer condiciones

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.