Hoy, más del 70 por ciento de las estafas digitales se realizan a través de una nueva técnica conocida como quishing que, al igual que en el ya conocido phishing, donde los usuarios son engañados para ingresar información personal en sitios falsos, el quishing -término derivado de ‘QR’ y ‘phishing’- utiliza códigos QR como vehículo para redirigir a estos sitios maliciosos, informaron a AIM desde Ingenia.
El término squishing viene de QR phishing, o lo que es lo mismo, phishing mediante QR. Esto es así porque es un tipo de estafa basada en lanzar cebos como la pesca o el phishing, pero el cebo que se utiliza en este caso es un código QR que las víctimas deben escanear.
El escaneo de QR es algo cada vez más cotidiano y presente para distintas actividades en la vida de las personas. Sin embargo, trae consigo ciertos riesgos:
- la redirección a sitios web maliciosos que buscan robar información personal o financiera
- la instalación de malware en el dispositivo
- la captura de credenciales de acceso a aplicaciones bancarias o cuentas en línea.
El procedimiento es siempre el mismo: el usuario escanea el código QR fraudulento, es redirigido a un sitio web falso que imita una página legítima, como la de un banco, una tienda en línea o un servicio de pago, introduce la información personal y/o financiera que se le solicita (credenciales de inicio de sesión, números de tarjeta de crédito o datos de cuentas bancarias son los más comunes) y los atacantes utilizan después dicha información para realizar transacciones no autorizadas, robos de identidad o incluso vender los datos en el mercado negro.
El primer paso para evitar estas estafas es desconfiar de los códigos QR que lleguen sin pedirlos o de una fuente que no sea fiable. También desconfiar de esos que aparecen por la calle o los que directamente prometen cosas u ofertas que son demasiado buenas para ser verdad.
Por eso, antes de escanear un código QR, se debe intentar verificar la fuente. Mirar el folleto o cartel, o la pegatina donde está el código QR. Si es algo que se encuentra por la calle ya se sabe que no va a ser real
Lo normal es que solo por escanear un código QR no pase nada. Sin embargo, hay veces en las que los atacantes jugarán con la curiosidad. También es posible que se descargue algún archivo peligroso en el dispositivo o virus.
Cuando se entre en la web a la que apunta un código QR, es necesario revisar siempre la URL o dirección de la página. Así, se podrá comprobar si la página en la que entras es la real o es otra con un nombre completamente diferente. A veces en la web a la que se lleva pueden utilizar una palabra que sea el nombre de la empresa, por lo que conviene saber cuál es la dirección real para no caer en la trampa de entrar en páginas con nombres parecidos, pero que no son la oficial.
Hoy en día, casi todas las aplicaciones nativas de cámara de los móviles tienen un escáner QR. Sin embargo, también es conveniente usar alguna app especial de escáner de QR que tenga protecciones de seguridad. Algunas tienen esta característica para detectar enlaces maliciosos y advertirte antes de entrar en la web a la que se apunta.
Y por último, también conviene tener actualizada la seguridad del móvil, es decir, asegurarse de que el sistema operativo esté actualizado, y si tiene alguna protección que puedas activar contra webs maliciosas o descargas dañinas, tenerlo activo.