QRishing es una forma de ataque de phishing en el que los piratas informáticos explotan los códigos QR para robar información privada, instalar software malicioso en un dispositivo o dirigir a una persona a un sitio web no seguro.
Entonces, ¿cómo funcionan estos ataques? ¿Cómo puede evitar ser víctima de un ataque QRishing?
¿Qué es QRishing?
QRishing explota la tendencia de los usuarios de teléfonos a escanear códigos QR por curiosidad, aburrimiento o necesidad.
Por ejemplo, el atacante puede dejar volantes en una parada de autobús o en las mesas de restaurantes o cafeterías. Cuando una persona escanea el código QR con su teléfono, pensando que es un anuncio o un menú, muestra una URL, una imagen o un mapa con direcciones a una ubicación, entre otras cosas.
De ahora en adelante, los estafadores confían en Ingeniería social engañar a las víctimas para que compartan información confidencial. Los piratas informáticos también pueden explotar vulnerabilidades como los errores de WebKit en un navegador para apoderarse del dispositivo de la víctima.
¿Cómo funciona QRishing?
Por supuesto, no todo el mundo escanearía un código QR aleatorio sin un incentivo o una leyenda que explicara lo que pueden esperar ver. Por eso, los ciberdelincuentes a menudo encuentran otra forma de hacer que la gente se interese.
Modificar códigos QR populares o de confianza
Un ciberdelincuente puede tomar un folleto de, por ejemplo, una institución financiera popular o una agencia gubernamental. Luego, cambian el código QR pero mantienen otros detalles o diseños y comparten el volante en línea. También pueden publicarlos en lugares públicos donde las personas puedan ver y escanear el código QR. Este truco en particular fue bien informado después de la Anuncio de código QR de Coinbase en el Super Bowl 2022 se hizo viral.
Pegar volantes falsos con el código QR
Aquí, un ciberdelincuente puede crear volantes falsos con un código QR creado para dirigir a las personas que los escanean a un sitio web donde el atacante puede robar sus datos. Incluso si este intento falla, el atacante aún puede recopilar datos del dispositivo y la ubicación del navegador de la víctima. Peor aún, un atacante decidido podría usar la huella digital del navegador para rastrear a una víctima en línea.
Incrustar el código QR en un correo electrónico fraudulento
Esta forma de QRishing suele formar parte de los métodos convencionales de phishing por correo electrónico. A diferencia de los hipervínculos acortados, al pasar el cursor sobre un código QR no se muestra la URL de destino, por lo que, para Por ejemplo, es fácil para un estafador decirle a una posible víctima que escanee un código QR para tener la oportunidad de ganar un tarjeta de regalo.
Cómo evitar el QRishing
Escanear y leer un código QR requiere principalmente dos cosas: una cámara y un navegador para seguir la información en el código QR. Como es tan simple, eso significa que también es fácil evitar ser víctima. Así es cómo.
Bloquee el acceso a la cámara en su teléfono
La mayoría de las personas tienen las cámaras de sus teléfonos listas para capturar momentos importantes o hacer videollamadas. Esto es comprensible. Pero tener una cámara siempre activada también puede facilitarle escanear un código QR sin pensarlo dos veces.
Considerar desactivar la cámara de tu iPhone cuando no está en uso. Una forma rápida de hacerlo es deslizar hacia abajo desde el área de notificación y bloquear el acceso a la cámara. La otra forma es navegar a Configuración > Aplicaciones > Permisos. A continuación, puede desactivar la cámara o configurarla para que solicite permisos de acceso cada vez que desee utilizar la aplicación. El proceso es similar para los usuarios de Android.
Sin duda, sentirás este cambio de estilo de vida, especialmente si usas mucho tu cámara. Aún así, el inconveniente ocasional de deshabilitar y habilitar su cámara vale la pena por la seguridad adicional contra QRishing y aplicaciones de terceros que acceden a su cámara.
Mantenga su software actualizado
Los piratas informáticos pueden explotar las vulnerabilidades del software en sus aplicaciones o en el sistema operativo del teléfono sin su conocimiento. Por ejemplo, los piratas informáticos pueden explotar las vulnerabilidades de seguridad de WebKit en su navegador para piratear su teléfono, tableta o incluso reloj inteligente. Considere configurar sus dispositivos para que actualicen automáticamente las aplicaciones y instalar actualizaciones de seguridad tan pronto como estén disponibles.
Evite compartir información confidencial en línea
Escanear un código QR puede dirigirlo a una página web o a un formulario en línea donde se le pedirá que brinde información. como sus datos personales, dirección de correo electrónico, contraseñas de cuentas o detalles de tarjetas para tener la oportunidad de ganar un premio ficticio.
Como regla general, evite compartir datos personales en línea. Además del riesgo de que pirateen su cuenta o le roben el dinero, los ciberdelincuentes también pueden usar los detalles que compartió para robar su identidad.
Piense antes de escanear
No tiene que escanear todos los códigos QR que se le presenten. Manténgase escéptico y absténgase de escanear cualquier cosa innecesariamente. En la mayoría de los casos, puede consultar el sitio web o el menú de una empresa buscándolo primero en línea.
QRishing: menos común, pero manténgase a la vanguardia
QRishing es menos común que otros tipos de phishing porque un atacante necesitaría invertir un poco de esfuerzo para distribuir el código QR malicioso. Sin embargo, esta forma de phishing es relativamente nueva y no mucha gente la conoce, lo que significa que la gente puede caer fácilmente en ella. Los ciberdelincuentes que realizan estos ataques tienen mucho que ganar y nada que perder.