Su uso proliferó durante la pandemia de la COVID-19 y parece que ha llegado para quedarse. Sin embargo, el escaneo de códigos QR para acceder a sitios web también se ha convertido en una suculenta herramienta de los ciberdelincuentes con la que cometer sus delitos. Profesionales de Entelgy Innotec Security explican en qué consisten estas técnicas de fraude mediante QR.
El QRishing, también conocido como quishing, es un tipo de estafa cibernética cuya utilización se ha extendido los últimos años, especialmente tras la pandemia de la COVID-19, cuando todo tipo de organizaciones (especialmente del ámbito hostelero y sanitario) comenzaron a utilizar códigos QR (Quick Response) en sus instalaciones como medida de higiene.
El término QRishing nace de la unificación de los términos ‘QR’ y ‘phishing’ y consiste en el diseño de códigos QR falsos que redirigen a sitios web fraudulentos.
“Por lo general, solicitan información sensible al usuario, que después es utilizada por los ciberdelincuentes (que desarrollaron el QR de la estafa) para realizar otros ciberataques. Conducen a la instalación de aplicaciones móviles con malware o permiten cometer fraude bancario, entre otras posibilidades”, explican Raquel Puebla e Itxaso Reboleiro, analistas de ciberinteligencia en Entelgy Innotec Security.
Con la popularización de estos códigos, esta ciberamenaza no ha dejado de crecer. Así, la estafa se encuentra en auge gracias al uso de técnicas de ingeniería social, dado que el éxito del QRishing depende de cuestiones como la confianza del usuario, la costumbre y masividad con la que se tratan los escaneos de códigos QR y la dificultad que supone distinguir los códigos legítimos de los que no lo son.
Es habitual que los ciberdelincuentes adhieran pegatinas con QR fraudulentos sobre códigos legítimos empleados por establecimientos y locales comerciales. Este último caso ha ocurrido recientemente con el servicio público de bicicletas eléctricas de Madrid.
También es común que se falsifiquen multas de tráfico incorporando códigos QR falsos para colocar dichas multas bajo los limpiaparabrisas de vehículos. De este modo, el código simula constituir una pasarela de pago con la que abonar la multa, y que en realidad proporciona al ciberatacante una cuantía monetaria o datos sensibles del usuario. “En 2022 se detectaron casos de Qrishing en parquímetros de distintas ciudades estadounidenses, donde los ciberdelincuentes colocaron códigos QR falsos que les permitían robar los detalles de pago de los usuarios de estos dispositivos”, añaden las profesionales de Entelgy Innotec Security.
QR inverso y QRLjacking
También se ha vuelto común el fraude que se conoce como «QR inverso«, mediante el cual “un ciberdelincuente, por ejemplo, enseña a un camarero, en el momento de abonar el pago de una consumición, un código QR con el que presuntamente haría efectivo el coste de esta cuando, en realidad, está realizando una solicitud de dinero o datos”, explican.
Otra de las amenazas de phishing en auge y que se basa en códigos QR es el conocido como «QRLjacking«, con el que el ciberdelincuente trata de secuestrar los accesos a servicios que permiten la opción de iniciar sesión a sitios mediante un código QR, como puede ocurrir con WhatsApp, “permitiéndole obtener y visualizar toda clase de información sensible o confidencial”.
Puebla y Reboleiro aseguran que, valiéndose de la ingeniería social, el auge del QRishing también radica en la confianza que los individuos depositan en entidades de confianza al ofrecer ciertos servicios o descuentos, “siendo común que los ciberdelincuentes abusen de este hecho para distribuir anuncios que hacen referencia a descuentos falsos en plataformas de comercio online, que serían otorgados a aquellos individuos que escaneen un determinado código QR”. Esto es utilizado, no solo para comprometer al usuario en particular, sino también para conseguir que este comparta el código a sus contactos.
Image: Freepik
