Cómo evitar estafas con falsos códigos QR en 2024

Fiabilidad

¿Crees que los códigos QR son siempre seguros? Piénsalo otra vez. Con la popularización de los códigos QR después de COVID-19 para pagos e inicios de sesión, los ciberdelincuentes han intensificado su juego, perfeccionando el uso de códigos QR falsos mediante una táctica llamada quishing.

¿Quieres saber cómo evitar el quishing? Sigue leyendo para saber más

Puntos clave

  • Códigos QR para engañar a la gente para que visite sitios web peligrosos diseñados para robar cosas como contraseñas o datos bancarios.
  • Los ataques de quishing van en aumento, pasando del 0,8% de los ataques de phishing en 2021 al 10,8% en 2024.
  • Grandes nombres como HSBC, Santander y la Comisión Federal de Comercio de Estados Unidos han hecho saltar recientemente las alarmas sobre las estafas de quishing. Estas estafas son complicadas porque a menudo burlan la seguridad habitual del correo electrónico.
  • Un ejemplo es la estafa de Microsoft Sway, en la que códigos QR falsos conducían al robo de datos de acceso.
  • Algunos consejos de seguridad son utilizar escáneres de códigos QR que muestren adónde lleva el enlace antes de abrirlo e informarse a sí mismo y a su equipo.

Entender los ataques con códigos QR falsos

El quishing, o suplantación de identidad mediante códigos QR, es un problema creciente, ya que los estafadores encuentran nuevas formas de engañar a la gente. Los códigos QR falsos son ahora tan comunes que grandes bancos como HSBC y Santander, junto con la Comisión Federal de Comercio de EE.UU., han hecho saltar las alarmas sobre las estafas de quishing. 

Estas estafas a menudo consiguen burlar la seguridad habitual del correo electrónico, lo que las hace especialmente difíciles de detectar.

Veamos dos ejemplos importantes de estafas con códigos QR para comprender lo furtivos y peligrosos que pueden ser estos ataques, y por qué es tan importante mantenerse alerta y precavido.

 

Caso 1: Estafa de quishing de Microsoft Sway (agosto de 2024)

En esta campaña de quishing, los atacantes utilizaron Microsoft Sway, una popular herramienta para crear boletines y presentaciones, para alojar páginas falsas con códigos QR falsos.

Cómo funcionaba:

  • Las páginas falsas parecían formar parte de Microsoft, lo que facilitaba que la gente confiara en ellas.
  • Se pedía a los usuarios que escanearan un código QR falso para acceder a sus cuentas.
  • Al escanear el código, los usuarios accedían a una página de inicio de sesión falsa que robaba sus nombres de usuario y contraseñas.

Este ataque se dirigió en particular a los sectores tecnológico, financiero y manufacturero. Utilizando la plataforma de confianza de Microsoft, los atacantes hicieron creer a los usuarios que se encontraban en un sitio seguro.

Caso 2: Quishing 2.0 con SharePoint (septiembre de 2024)

En este ataque de quishing más avanzado, los ciberdelincuentes utilizaron varios servicios de confianza para ocultar su estafa.

Cómo funcionaba:

  • Las víctimas recibían un correo electrónico con un código QR falso, supuestamente de una empresa de confianza.
  • Al escanear el código se accedía a un sitio real de escaneado QR, lo que aumentaba la credibilidad de la estafa.
  • A continuación, los usuarios eran redirigidos a una página de SharePoint, donde veían lo que parecía un archivo seguro.
  • Al hacer clic en el archivo, se abría una falsa página de inicio de sesión de Microsoft diseñada para capturar nombres de usuario y contraseñas.

Estos casos demuestran la facilidad con la que las estafas con códigos QR pueden parecer reales, por lo que es crucial ser precavido con cualquier código QR falso que llegue inesperadamente.

Estadísticas del quishing en 2024

El quishing se ha convertido en una importante amenaza cibernética en los últimos años.

Según las estadísticas de quishing del Informe de Tendencias de Amenazas de Phishing de Egress, los hackers están utilizando códigos QR falsos para engañar a la gente aprovechando la confianza que han generado los códigos QR en la vida cotidiana.

Aumento de los ataques de phishing con códigos QR a través del correo electrónico(% del total de ataques de phishing por correo electrónico, de 2021 al primer trimestre de 2024)

 

Los datos muestran un claro aumento del phishing de códigos QR falsos en pocos años:

  • 2021: Sólo el 0,8% de los ataques de phishing por correo electrónico utilizaron códigos QR.
  • 2022: Aumenta ligeramente hasta el 1,4%.
  • 2023: Un gran salto hasta el 12,4%.
  • Q1 2024: Los ataques con códigos QR falsos totalizaron el 10,8% de todos los ataques de phishing por correo electrónico, lo que solo puede significar que el porcentaje será mucho mayor a finales de año.

Estas estadísticas de quishing ponen de manifiesto la rapidez con la que los hackers han adoptado esta táctica para llevar a cabo más estafas con códigos QR falsos.

Egress predice que el quishing seguirá siendo una amenaza hasta que las empresas refuercen su seguridad para detectar los códigos QR falsos y el público sea más consciente de los riesgos.

Cuando las organizaciones puedan detectar mejor estas estafas, las estadísticas de quishing podrían disminuir a medida que los piratas informáticos pasen a utilizar nuevos métodos.

Por ahora, sin embargo, está claro que los códigos QR falsos son una forma fácil de que los piratas informáticos lleven a cabo estafas, lo que recuerda a todo el mundo que debe mantenerse alerta y ser precavido.

¿Cómo prevenir el quishing?

Saber cómo prevenir el quishing puede ayudarte a mantenerte a salvo de estas engañosas estafas. He aquí algunos pasos prácticos para evitar ser víctima de ataques de quishing:

Infórmese y eduque a su equipo

Una de las mejores formas de protegerse contra las estafas de quishing es conocer las señales de advertencia. Tanto para los empleados como para los clientes, entender qué aspecto tienen los ataques de quishing puede suponer una gran diferencia.

Esté atento a códigos QR inesperados en correos electrónicos o mensajes de texto, especialmente de remitentes desconocidos.

Utilice escáneres de códigos QR que muestren primero el enlace

Para escanear códigos QR de forma segura, considere la posibilidad de utilizar una aplicación de códigos QR que muestre una vista previa del enlace antes de que se abra. De este modo, podrá comprobar si el sitio web parece legítimo antes de visitarlo.

Este consejo es especialmente útil en dispositivos móviles, donde los códigos QR se escanean con frecuencia.

Cree una política de códigos QR en el trabajo

Las empresas pueden reducir la probabilidad de que se produzcan estafas de quishing creando políticas para el uso seguro de los códigos QR.

Por ejemplo, sólo permitir códigos QR de fuentes fiables y formar a los empleados para que eviten escanear códigos en correos electrónicos no verificados.

Esto puede reducir el riesgo de que un ataque de quishing afecte a su empresa.

Siguiendo estos pasos, puede reducir en gran medida el riesgo de caer en una estafa de quishing y mantener su información segura.

En resumen

El quishing es un astuto truco de phishing en el que los estafadores utilizan códigos QR falsos para robar información confidencial.

Los ataques de quishing están aumentando rápidamente, y los hackers introducen códigos QR falsos en correos electrónicos, carteles e incluso plataformas de confianza como Microsoft SharePoint.

Mantenerse protegido significa aprender a reconocer estas estafas, utilizar escáneres de códigos QR para previsualizar los enlaces y comprobar siempre dos veces los códigos inesperados.

Preguntas frecuentes

¿Cómo identificar un código QR falso?

¿Qué es un código QR malicioso?

¿Cómo evitar los códigos QR falsos?

¿Pueden ser peligrosos los códigos QR?

¿Cómo comprobar si un código QR es seguro?

 

Otras guías

Temas relacionados

Maria Webb
Tech Journalist
Maria Webb
Periodista especializada en tecnología

Especialista en contenidos con más de 5 años de experiencia periodística, Maria Webb es actualmente una periodista especializada en tecnología para Business2Community y Techopedia, y se especializa en artículos basados en datos. Tiene especial interés en la IA y el posthumanismo. Su trayectoria periodística incluye dos años como periodista estadística en Eurostat, donde elaboró atractivos artículos centrados en datos, y tres años en Newsbook.com.mt, donde cubrió noticias locales e internacionales.