En la era digital actual, los códigos QR se han integrado a la perfección en nuestra vida cotidiana, facilitando un acceso rápido a información, sitios web y servicios con solo escanearlos. Sin embargo, su comodidad no ha pasado desapercibida para los ciberdelincuentes. Una tendencia al alza en el panorama de las amenazas cibernéticas es el uso de códigos QR para ataques de phishing, un método conocido como «phishing con códigos QR» o «quishing».
Este artículo analiza los matices del phishing mediante códigos QR, los riesgos asociados y cómo las organizaciones pueden protegerse frente a esta amenaza cada vez mayor.
- ¿Qué es el «quishing»?
- El mecanismo del «quishing»
- Cómo el phishing mediante códigos QR puede afectar a las organizaciones de infraestructuras críticas
- El panorama de amenazas en aumento
- El impacto del phishing mediante códigos QR
- Mitigación de riesgos con soluciones antiphishing en tiempo real
- Formación y sensibilización de los empleados
¿Qué es el «quishing»?
El «quishing», o phishing mediante códigos QR, consiste en insertar direcciones URL maliciosas en códigos QR. Cuando los usuarios escanean estos códigos, son redirigidos a sitios web de phishing diseñados para robar información confidencial, como credenciales de inicio de sesión, datos personales e información financiera. A diferencia de los ataques de phishing tradicionales, que se basan en que los usuarios hagan clic en enlaces maliciosos incluidos en correos electrónicos o mensajes de texto, el quishing se aprovecha de la confianza y la curiosidad que pueden inspirar los códigos QR.

El mecanismo del «quishing»
El «quishing» suele consistir en insertar una URL maliciosa en un código QR. Al escanearlo, este código QR redirige a la víctima a un sitio web de phishing diseñado para robar credenciales, información personal o instalar malware. La sofisticación de estos ataques radica en su capacidad para eludir las medidas de seguridad tradicionales del correo electrónico, ya que los códigos QR no suelen ser analizados con el mismo rigor que las URL de texto sin formato.
Suplantación de identidad mediante códigos QR en correos electrónicos: Los ciberdelincuentes suelen incluir códigos QR maliciosos en correos electrónicos que parecen legítimos. Estos correos pueden aparentar proceder de fuentes fiables, como entidades financieras, proveedores de servicios o empresas. El código QR puede incitar al destinatario a escanearlo con diversos pretextos, como verificar los datos de una cuenta, acceder a documentos confidenciales o participar en encuestas.
Media físicos y digitales: Los códigos QR maliciosos también pueden encontrarse en carteles, folletos y otros soportes físicos. Además, pueden difundirse a través de las redes sociales, mensajes SMS u otras plataformas digitales, lo que amplía el número de posibles víctimas.
Cómo el phishing mediante códigos QR puede afectar a las organizaciones de infraestructuras críticas
En mayo de 2023, una campaña de phishing que utilizaba códigos QR tuvo como objetivo una importante empresa energética estadounidense. La campaña tenía como objetivo robar las credenciales de Microsoft de usuarios de diversos sectores. Cabe destacar que la empresa energética recibió alrededor del 29 % de los más de 1 000 correos electrónicos que contenían códigos QR maliciosos, y que los sectores de la industria manufacturera, los seguros, la tecnología y los servicios financieros también fueron objeto de ataques significativos.
Los mensajes de phishing incluían códigos QR en imágenes PNG o archivos adjuntos PDF, en los que se instaba a los destinatarios a escanear los códigos para verificar sus cuentas. Este método elude las soluciones antiphishing, ya que los enlaces maliciosos quedan ocultos dentro de las imágenes QR. La campaña, cuyo crecimiento se ha estimado en más del 2400 % desde mayo de 2023, sugiere que los autores de las amenazas están probando la eficacia de los códigos QR. El FBI ha advertido sobre este tipo de ataques y recomienda mantener la vigilancia y verificar cuidadosamente las URL obtenidas al escanear códigos QR.
A continuación se presentan otras tres formas en que el phishing mediante códigos QR podría utilizarse contra organizaciones de infraestructuras críticas, o contra sus clientes:

Sector financiero: objetivo
Los clientes de un importante banco reciben correos electrónicos con códigos QR que, supuestamente, corresponden a una nueva función de seguridad. Al escanearlos, estos códigos redirigen a un sitio web que imita la página de inicio de sesión del banco, donde se recopilan los datos de las cuentas y la información personal. Este incidente provoca importantes pérdidas económicas y daña la reputación del banco.

Estafa en el ámbito de los recursos humanos corporativos
Los empleados de una multinacional reciben un correo electrónico que parece proceder del departamento de Recursos Humanos, con un código QR vinculado a una «encuesta obligatoria». Sin embargo, la página de la encuesta es un sitio web de phishing diseñado para robar las credenciales de los empleados. La filtración da lugar a un acceso no autorizado a datos corporativos confidenciales.

Fuga de datos sanitarios
Los pacientes de un centro sanitario reciben recordatorios de citas que contienen códigos QR. Al escanear estos códigos, se les redirige a una página de inicio de sesión falsa del portal del paciente, lo que pone en peligro los historiales médicos y la información sanitaria personal.
El panorama de amenazas en aumento
Según un informe de la revista InfoSecurity Magazine, se ha producido un aumento significativo de los ataques de phishing mediante códigos QR. Solo en 2022, el 22 % de los ataques de phishing se realizaron mediante códigos QR. Este aumento puede atribuirse al uso cada vez más extendido de los códigos QR y a la relativa facilidad con la que pueden ser objeto de abuso. Los ciberdelincuentes saben que muchos usuarios desconocen los peligros potenciales asociados al escaneo de códigos QR, lo que los convierte en un blanco fácil.
El aumento del teletrabajo y de las transacciones digitales también ha contribuido al incremento de los casos de phishing mediante códigos QR. Los empleados que trabajan desde casa pueden ser más propensos a escanear códigos QR sin el mismo nivel de cautela que aplicarían en un entorno de oficina tradicional. Además, el auge de las transacciones en línea ofrece más oportunidades a los ciberdelincuentes para distribuir códigos QR maliciosos.
Estos son los tres principales factores que contribuyen al aumento del phishing mediante códigos QR:

El impacto del phishing mediante códigos QR
Los ataques de phishing que tienen éxito pueden tener graves consecuencias, ya que afectan tanto a particulares como a organizaciones y provocan:
- Fugas de datos: acceso no autorizado a información confidencial, incluidos datos personales, datos financieros y credenciales corporativas.
- Pérdida económica: pérdida monetaria directa debida a transacciones fraudulentas o a programas de ransomware.
- Daño a la reputación: pérdida de confianza por parte de clientes y socios, lo que puede tener consecuencias a largo plazo para la empresa.
Mitigación de riesgos con soluciones antiphishing en tiempo real
Dada la complejidad de los ataques de «quishing», las organizaciones deben adoptar estrategias integrales para mitigar estos riesgos. Una de las formas más eficaces de combatir el phishing mediante códigos QR es mediante una solución antiphishing en tiempo real. La capa de defensa antiphishing en tiempo real OPSWATpuede mejorar significativamente la seguridad del correo electrónico al proporcionar una protección sólida contra los ataques de phishing mediante las siguientes tecnologías:

Análisis del momento del clic
Realiza comprobaciones de la reputación de los enlaces utilizando más de 30 fuentes en línea en el momento en que se hace clic. Esto garantiza que, aunque un código QR parezca seguro en un principio, cualquier cambio posterior en la URL vinculada se detecte y se bloquee.

Escaneo y reescritura de códigos QR
Escanea los códigos QR incluidos en los correos electrónicos y reescribe cualquier URL maliciosa, evitando que los usuarios sean redirigidos a sitios de phishing.

Alta tasa de detección
Con una tasa de detección del 99,98 %, esta solución ofrece una protección sin igual contra el spam y los ataques de phishing. Las exhaustivas comprobaciones de la reputación de los enlaces y el análisis en tiempo real reducen considerablemente el riesgo de caer víctima de estafas de phishing.

Detección en múltiples niveles
Utiliza algoritmos avanzados de heurística y aprendizaje automático para identificar y bloquear los intentos de phishing. Este enfoque multicapa garantiza que incluso los ataques de phishing más sofisticados sean detectados y neutralizados.
La implementación de la solución antiphishing en tiempo real OPSWATofrece varias ventajas, tales como:

Mayor seguridad
Al incorporar una sólida capa de protección contra los ataques de phishing, las empresas pueden proteger su información confidencial y evitar el acceso no autorizado a sus sistemas.

Tranquilidad
Los empleados pueden utilizar códigos QR sin temor a ser víctimas de estafas de phishing, sabiendo que cualquier enlace malicioso será detectado y bloqueado en tiempo real.

Cumplimiento normativo
Para las empresas de sectores regulados, la implementación de soluciones avanzadas contra el phishing puede ayudar a cumplir los requisitos de cumplimiento normativo relacionados con la seguridad y la privacidad de los datos.
Formación y sensibilización de los empleados
Además, se recomienda encarecidamente formar a los empleados sobre los riesgos asociados a los códigos QR y sobre cómo reconocer los códigos sospechosos. La formación debería incluir:
Verificación: Anime a los empleados a que comprueben la procedencia de los códigos QR antes de escanearlos. Si reciben un código QR por correo electrónico o lo encuentran en un lugar inusual, deben verificar su autenticidad.
Comprobación de la URL: Enséñeles a los empleados a comprobar la URL a la que les redirige un código QR. Las URL legítimas deben examinarse minuciosamente para detectar cualquier anomalía o error ortográfico que pueda indicar que se trata de un sitio de phishing.
En resumen
A medida que sigue aumentando el uso de los códigos QR, también lo hará la amenaza del phishing mediante códigos QR. Los ciberdelincuentes están en constante evolución en cuanto a sus tácticas, por lo que es fundamental que las empresas se mantengan un paso por delante.
Formar a los empleados, implementar soluciones avanzadas de seguridad del correo electrónico y aprovechar las tecnologías antiphishing en tiempo real son medidas fundamentales para mitigar el riesgo de phishing mediante códigos QR. Al adoptar estas medidas proactivas, las empresas pueden asegurarse de estar bien preparadas para hacer frente a un panorama de amenazas en constante evolución y mantener la seguridad de sus activos digitales.
Para descubrir cómo las innovadoras soluciones OPSWATpueden proteger su infraestructura crítica, hable hoy mismo con un experto.
