Fraude con códigos QR (Quising)

Los códigos QR (quick response) contienen todo tipo de datos, como enlaces, información sobre productos o datos de contacto. Su atractivo reside en  su simplicidad. En lugar de introducir una larga dirección web, escaneas el código y tu teléfono te lleva al sitio o contenido en cuestión al instante. 

Actualmente, se han hecho tan comunes, que les tenemos una confianza ciega. Pero precisamente esa confianza es lo que los ciberdelincuentes explotan. 

En un ataque de quishing, los estafadores generan un código QR malicioso que dirige a los incautos  a un sitio web peligroso. Estos códigos QR pueden integrarse en correos electrónicos muy bien elaborados, en las redes sociales, en folletos de publicidad o incluso en objetos físicos del mundo real.

Por ejemplo, imagina que te llega un correo que dice que has ganado un premio en metálico o que tienes que escuchar un importante mensaje de voz. Para conseguir el premio o escuchar el mensaje, solo tienes que escanear el código QR. Sin embargo, en cuanto lo escaneas, te dirige a un sitio web malicioso que te pide datos personales sensibles, como tu nombre, correo electrónico, fecha de nacimiento o datos bancarios.  Estos sitios falsos están  diseñados para parecer auténticos, pero su única finalidad es robar tus datos para suplantar tu identidad, llevar a cabo un fraude financiero o algo peor. 

Los delincuentes están apostando por el quishing debido a nuestra preferencia por el teléfono móvil. La mayoría de ordenadores poseen sistemas de protección contra el phishing que dificultan la labor de los estafadores. Sin embargo, los móviles les ofrecen una oportunidad de oro. Los dispositivos móviles suelen estar menos protegidos y los ataques con códigos QR pueden colarse entre los sistemas de seguridad tradicionales, como las pasarelas seguras para el correo electrónico. 

El quishing es un auténtico quebradero de cabeza debido a que salta de un dispositivo a otro, por lo que es difícil de interceptar. Complejidad que genera ángulos muertos que dificultan la capacidad de las empresas para  detectar y bloquear estos ataques sigilosos.

Cómo puedes  protegerte del quishing

La manera más fácil es abstenerte de escanear códigos QR a lo loco, sobre todo los de origen desconocido. Si algo te parece sospechoso, como un código QR en un lugar extraño, párate a inspeccionar la URL para ver si la ortografía es correcta o hay letras intercambiadas. En caso de duda, no lo escanees y verifica la información visitando el sitio oficial de la empresa. 

Activa la autenticación multifactor y sospecha de las notificaciones de autenticación: apruébalas únicamente si eres tú quien ha iniciado el acceso.

Por último, mantén tu móvil actualizado y utiliza contraseñas seguras y únicas con autenticación multifactor para adelantarte a los estafadores.

Y siempre recuerda: ¡La mejor defensa contra el quishing es la prevención!