Si hay algo importante que no se debe dejar de comentar es que los códigos QR siempre parecen inofensivos hasta que dejan de serlo. Aunque le cueste creerlo, hemos llegado al punto en que los códigos han comenzado a utilizarse como arma en ataques de Phishing o también conocido como Qrishing. Pero, ¡no se preocupe! que a continuación, traemos datos muy interesantes que debe conocer al respecto.
Todo lo que tiene que saber acerca del Qrishing
El Qrishing se ha venido dando desde hace un tiempo y para conocer de qué trata, se debe primeramente mencionar que es el Phishing y que es el Qrishing con exactitud para poder conocer a profundidad de lo que le comentamos y en breve lo mencionaremos.
¿Qué es el Phishing?
El Phishing (por si no lo sabe o no lo recuerda), viene siendo un tipo de ingeniería social que los atacantes utilizan para engañar a las personas para que revelen o entreguen información confidencial (como nombres de usuario y contraseñas por ejemplo) o incluso instalen software malicioso.
Cabe destacar que el Phishing existe desde hace mucho tiempo y ha adoptado cuantiosas formas a lo largo de los años. En esta ronda, los ataques usan códigos QR, también conocidos como Qrishing.
¿Qué es Qrishing?
El Qrishing viene siendo una técnica que usa la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje, correo electrónico u otro.
Entonces, cabe hacerse la pregunta; ¿por qué es esto un problema?
Es importante señalar que los códigos QR están en todas partes, bien sea restaurantes, transporte público, comerciales, o letreros, anuncios e incluso las empresas envían sus productos con códigos QR, para que los consumidores tengan la capacidad de poder acceder a los manuales en sus teléfonos.
Pero es crucial mencionar que el código QR puede llegar a ser muy dañino. Y los ciberdelincuentes cuentan con la idea de que la mayoría de los consumidores siempre asumen que los códigos QR son inofensivos. Esos mismos delincuentes también entienden que sus objetivos más fáciles son aquellos que usan teléfonos móviles. ¿Por qué? Esto se debe a que la mayoría de los sistemas operativos de escritorio incluyen protección contra Phishing. Los teléfonos, por otro lado, son mucho más vulnerables a esos ataques.
Por el momento, la mayoría de los ataques de Qrishing implican que los delincuentes envíen un código QR por correo electrónico. En la mayoría de los casos, esos correos electrónicos actúan como un llamado para que los usuarios verifiquen las cuentas y que el usuario en cuestión debe actuar dentro de un período de tiempo determinado o su cuenta será bloqueada o cerrada. La idea es que un usuario vea el código QR en su correo electrónico de escritorio y lo escanee con su teléfono. Una vez escaneado, el código QR causaría estragos en el dispositivo.
Evidentemente, esa no viene siendo la única forma en que un actor de amenazas podría usar un código QR para engañar a las personas y hacerlas caer en su estafa. Como mencionamos al inicio de este artículo, los códigos QR están en todas partes. ¿Qué impide que un ciberdelincuente coloque códigos QR en todas partes, sabiendo que alguna persona inocente escanearía el código para desatar el ataque planeado?
Ante esto ¿qué se puede hacer?
Debe saber que ante todo esto, lo más sencillo e idóneo que puede hacer es no escanear códigos QR principalmente aquellos de fuentes desconocidas. Si acaso desea escanear un código QR debe primeramente verificar la fuente. Incluso entonces, sólo debe escanearlo si es absolutamente necesario.
Ahora bien, si el caso es que recibe un correo electrónico con un código QR, lo primero que debe hacer es verificar la validez del remitente. Por ejemplo, si recibe un correo electrónico con un código QR que pretende ser de la “Compañía X” pero mira el correo electrónico del remitente y es de Gmail o de algún dominio aleatorio (desconocido), es muy probable que se trate de un ataque de Qrishing.
Así que, debe tener presente que lo mejor que puede hacer es nunca escanear ningún código QR en un correo electrónico. Las empresas legítimas siempre enviarán instrucciones sobre cómo hacer lo que sea necesario. Y la mayoría de las compañías ciertamente no enviarán un código QR para que pueda verificar su cuenta. Sabemos que se estará preguntando y ¿en cuánto a los códigos QR aleatorios que encuentras en el mundo? Simplemente no lo haga.
Entendiendo todo esto, a menos que esté 100% seguro de la fuente de un código QR, nunca lo escanee con su teléfono.
