Delincuentes se aprovechan de la confianza que los usuarios depositan en esta herramienta para cumplir sus objetivos.
El uso cotidiano de códigos QR (evolución del código de barras) para acceder a menús, realizar pagos o completar trámites, ha facilitado la vida de las personas, pero también ha dado paso a una nueva modalidad de estafa conocida como quishing.
Este tipo de fraude ha crecido en los últimos años impulsado por la normalización del uso de este tipo de códigos, así como por la confianza que los usuarios depositan en esta herramienta; por lo que se hace un llamado a las personas para que se mantengan atentas.
Angie García, encargada de Seguridad de la Información de la Sociedad de Seguros de Vida explica que “el QR se ha convertido en un canal que no genera sospecha inmediata. A diferencia del correo o los mensajes de texto, las personas no cuestionan su uso y eso ha sido aprovechado por la ciberdelincuencia”.
García agrega que, el quishing consiste en utilizar códigos QR para redirigir a las víctimas a sitios fraudulentos. A diferencia de otros ataques, esta combina elementos físicos y digitales, lo que incrementa su efectividad.
“Puede ser incluso más riesgoso que el phishing tradicional, ya que el usuario no puede visualizar la dirección web antes de acceder y, en muchos casos, evade filtros de seguridad como antivirus o sistemas antispam”, asegura.
Además, este tipo de fraude suele ocurrir fuera de los entornos digitales tradicionales, en espacios como mesas, paredes o rótulos, lo que refuerza la percepción de legitimidad.
Aunque no existe un único perfil de víctima, los expertos señalan que hay grupos de personas particularmente vulnerables: jóvenes y adultos altamente digitalizados que priorizan la rapidez sobre la verificación, usuarios con baja formación en ciberseguridad y turistas, especialmente en espacios públicos.
Para lograr su objetivo, el delincuente simplemente crea un QR que apunta a su sitio fraudulento y lo coloca donde espera que alguien lo escanee, para lo que ejecuta lo siguiente:
- Elige o crea una URL (dirección web) fraudulenta, la cuál puede ser una página clonada (banco, SINPE, parqueo, institución), un formulario falso, un sitio que descarga malware, o un enlace que roba credenciales.
- Usa herramientas gratuitas y convierte la URL en un QR.
- Selecciona el objetivo: lugar físico en el cuál pondrá visible el código QR.
- Imprime y pega el QR falso sobre el legítimo en el lugar físico.
- La víctima lo escanea confiando en el contexto (parqueo, menú, pago) y, el QR le redirige a: Una página web falsa, un portal clon legítimo (banco, SINPE) o una descarga maliciosa.
La víctima:
- Ingresa credenciales.
- Realiza un pago.
- Autoriza un acceso.
- Instala malware.
El atacante obtiene la información suministrada por la víctima y:
- Roba dinero.
- Toma control de cuentas.
- Accede a información personal.
La experta asegura que, antes de escanear un código las personas deben validar y desconfiar si notan que es un QR pegado o sobrepuesto, está desalineado o de mala calidad, está ubicado en lugares inusuales o sin logotipo o en afiches improvisados o sin respaldo institucional.
Si ya el código fue escaneado se debe considerar si se trata de una URL extraña o acortada, contiene errores de ortografía, solicitan datos personales, bancarios o pagos urgentes, redireccionan de manera múltiple y solicitan instalar aplicaciones.
García hace énfasis en que la clave está en fortalecer la educación digital y promover una actitud crítica frente a estas herramientas y que esta responsabilidad también debe ser asumida por las organizaciones.
“Nuestra experiencia nos ha enseñado que es necesario adoptar un enfoque preventivo y mantener una inversión constante en programas de formación y refuerzo educativo. Instamos a todas las organizaciones a que inviertan esfuerzos en seguridad de la información y en conjunto podamos promover una sociedad más consciente y atenta”, concluye la vocera.