Los códigos QR se hicieron muy populares durante los días sin contacto de la pandemia de COVID-19 y ahora están en todas partes. Desde menús hasta formularios y carteles, ¿a quién no le gustan estos atajos escaneables para acceder a información y pagos rápidos y sin complicaciones?
Ahora los códigos QR también sirven para un propósito muy diferente: ser una herramienta para los estafadores.
En diciembre de 2023, la Comisión Federal de Comercio advirtió sobre una nueva forma de phishing. La estafa, llamada apropiadamente quishing, utiliza códigos QR para engañar a las personas y lograr que revelen información personal.
En Internet, los estafadores envían correos electrónicos que contienen códigos QR que almacenan URL a sitios web maliciosos que parecen legítimos bajo la apariencia de correos electrónicos de seguimiento de paquetes o haciéndose pasar por remitentes conocidos, como representantes de recursos humanos o directores ejecutivos. Durante el tercer trimestre de 2023, la plataforma de ciberseguridad Trellix detectó más de 60.000 intentos de estafa con códigos QR solo en correos electrónicos.
Fuera de línea, los estafadores reemplazan los códigos QR legítimos por otros falsos en lugares comunes, como parquímetros, menús o carteles. Una vez escaneados, los enlaces almacenados en el código QR pueden descargar automáticamente malware, abrir sitios web de pago o engañar a los usuarios para que proporcionen su información personal o sus credenciales de inicio de sesión. Cuando los actores maliciosos acceden a datos confidenciales, pueden apoderarse de los dispositivos o hacerse pasar por usuarios, lo que fomenta la estafa al engañar a las personas en las redes de la víctima.
Los códigos QR son accesibles, pero el público en general no es consciente de sus riesgos. Dado que los códigos QR aparecen como imágenes o archivos PDF que ocultan sus URL, estas estafas pueden pasar desapercibidas para el software de seguridad tradicional. Esta táctica furtiva también se aprovecha de las medidas de seguridad menos avanzadas de los teléfonos inteligentes en comparación con las computadoras, y las estafas no están en el radar de muchos consumidores que aprendieron a confiar en los códigos QR sin inspeccionar cada píxel.
Por ahora, muchas estafas de “quishing” se están escapando.
Las primeras campañas importantes de quishing se lanzaron en mayo de 2023 y estaban dirigidas a usuarios de Microsoft en una importante empresa energética estadounidense. A finales de marzo de 2024, el volumen de correos electrónicos de quishing se disparó más del 2400 %, creciendo un 270 % de media cada mes. Ese mismo mes, un informe de Osterman Research e Ironscales descubrió que más de 3 de cada 4 empresas encuestadas, incluidas muchas empresas de tecnología de la información, habían sido víctimas de quishing durante el año anterior. Paradójicamente, casi 4 de cada 5 (77 %) de los encuestados tenían “mucha” o “extremadamente” confianza en su tecnología para evaluar las amenazas a la seguridad.
La firma de ciberseguridad Abnormal Security descubrió que aproximadamente 9 de cada 10 (89 %) ataques de suplantación de identidad detectados por su tecnología eran solicitudes de autorización multifactor diseñadas para obtener las credenciales de los usuarios, según su Informe sobre amenazas de correo electrónico del primer semestre de 2024. El informe también descubrió que los ejecutivos son el objetivo abrumador de los ataques de suplantación de identidad, con 42 veces más intentos de ciberataques que los empleados en el primer trimestre de 2024. Los ejecutivos pueden correr un mayor riesgo debido a sus mayores niveles de autorización de seguridad y al acceso a información confidencial que desean los phishers.
Quishing es “solo el primer ejemplo de muchos otros tipos de ataques basados en imágenes que veremos”, dijo el estratega tecnológico principal de Ironscales, Audian Paxson, a SDxCentral.
Aunque las estafas de phishing inteligentes son más difíciles de detectar con el auge de las herramientas basadas en inteligencia artificial, los consumidores pueden sentirse más capacitados si están más alertas. Uniqode describió algunos consejos para detectar códigos QR falsos y evitar estafas de phishing.
Cuidado con los estafadores de pegatinas
Los códigos QR falsos pueden parecerse a los legítimos, por lo que debe estar atento a cualquier irregularidad antes de escanearlos. Si observa que un menú o un cartel incluye un código QR con protuberancias, bordes despegados o que parece pegado, no lo escanee.
Actualiza el sistema operativo y las aplicaciones de tu teléfono
La primera línea de defensa contra los códigos QR maliciosos es asegurarse de que su teléfono tenga el sistema operativo más reciente. El software de autenticación de dos factores que confirma su identidad mediante su teléfono celular o aplicaciones es otra medida de seguridad importante.
Bloquear descargas automáticas
Cuando los estafadores utilizan códigos QR y otros archivos de imagen como vehículos para malware y contenido malicioso, las descargas automáticas pueden causar estragos antes de que los usuarios se den cuenta. Configurar los ajustes de correo electrónico para bloquear la carga automática de imágenes puede ayudar a proteger a los usuarios y las organizaciones, según un informe de Mimecast de 2023.
No interactúe con remitentes no reconocidos y verifique dos veces a los que conoce
Si un correo electrónico de un remitente desconocido le pide que escanee un código QR, abra enlaces, comparta información o descargue documentos, simplemente no lo haga. La detección es más complicada cuando los ciberatacantes utilizan marcas conocidas como Microsoft, Docusign y Amazon, en parte porque los estafadores ahora se aprovechan de empresas que son relevantes en un momento determinado, como hacerse pasar por Amazon antes del Cyber Monday. Si recibe un correo electrónico sospechoso de un remitente conocido, llámelo y pídale confirmación. En resumen, si un correo electrónico parece ser fraudulento, no lo acepte: denúncielo.
No caigas en la falsa urgencia
Los estafadores utilizan tácticas manipuladoras para incitar a que se tomen medidas inmediatas, como por ejemplo, empresas que te piden que te pongas en contacto con ellas para reprogramar las entregas o que fingen que tu cuenta ha sido violada y te piden que confirmes tu información. Para evitar una estafa, la Comisión Federal de Comercio recomienda a los usuarios que visualicen las URL vinculadas a los códigos QR para detectar señales de alerta, como cadenas de letras aleatorias, errores ortográficos o letras intercambiadas.
Confia en tu instinto
Un instinto agudo también puede ayudar a los usuarios a evitar las trampas de los estafadores. Desconfíe de los tratos improbables y de los atractivos emocionales, y nunca revele información personal como números de la Seguridad Social: el mismo consejo para evitar la mayoría de las estafas.
Antes de escanear, tenga cuidado. Al igual que los archivos adjuntos y los enlaces, los códigos QR pueden ser cuestionables. El software de reconocimiento de imágenes basado en inteligencia artificial puede ayudar a detectar códigos QR corruptos y, con suerte, la seguridad alcanzará a los estafadores. Por ahora, el sentido común también funciona.
Edición de la historia por Alizah Salario. Edición de texto por Paris Close. Selección de fotografías por Lacy Kerrick.
Esta historia apareció originalmente en Uniqode y fue producida y distribuida en asociación con Stacker Studio.
(Esta es una historia sin editar y generada automáticamente a partir de un servicio de noticias sindicado. Radio VIAL Es posible que el personal no haya cambiado ni editado el texto del contenido).
More Stories
Mikel Arteta da su veredicto sobre la tarjeta roja a Leandro Trossard
No hay acuerdo tras el cuarto día consecutivo de conversaciones entre Kapi’olani y las enfermeras
Ter Stegen se perderá varios meses el fútbol por lesión