Lo que debes saber y cómo estar seguro
Fuente: Yubico
Cuando piensas en phishing, probablemente lo asocies con correos electrónicos. Sin embargo, una nueva forma de estafa basada en mensajes de texto está ganando popularidad. Un ejemplo común es un mensaje de texto aparentemente legítimo del servicio de paquetería informando que tu “paquete” ha llegado al almacén y pidiéndote que ingreses tu información para recibirlo.
Este es solo uno de muchos ejemplos de intentos de ataques de phishing, donde los atacantes intentan obtener información personal como credenciales de inicio de sesión, números de tarjetas de crédito o engañar a los usuarios para que descarguen malware o envíen dinero. Debido a su bajo costo y alta tasa de éxito, los ataques de phishing son la forma más común de violaciones de cuentas en línea hoy en día.
Aunque la mayoría de los ataques de phishing llegan por correo electrónico con enlaces o archivos adjuntos engañosos, otros se envían por mensaje de texto o incluso por llamada telefónica. Estos ataques pueden parecer correos electrónicos, mensajes o sitios web reales de marcas conocidas; de hecho, el 44% de las personas creen que un correo electrónico es ‘seguro’ si proviene de una marca confiable.
Ahora, un nuevo tipo de ataque de phishing está en aumento y proviene de una fuente inesperada: los códigos QR.
¿Qué son los códigos QR y cómo se usan para phishing?
Los códigos QR son un tipo de código de barras en una cuadrícula que puede ser leído por una cámara, generalmente en un smartphone. Pueden almacenar texto plano o enlaces para descargar una app, acceder a información de productos o un menú, enviar o recibir un pago, unirse a una red Wi-Fi, iniciar sesión en una cuenta o soportar el ticketing móvil, entre otros.
En 2022, 83.4 millones de usuarios de smartphones en EE.UU. escanearon un código QR, y se espera que esa cifra alcance los 99.5 millones en 2025. Con su creciente popularidad, los códigos QR se han convertido en el nuevo ‘anzuelo’ para ataques de phishing, aprovechando la mayor comodidad de los usuarios al utilizarlos.
Los ataques de phishing con códigos QR, también conocidos como “quishing”, utilizan códigos QR físicos o digitales para atraer a los usuarios a sitios web falsos diseñados para robar información sensible o infectar el dispositivo con malware.
Al igual que otros tipos de phishing, estos ataques se basan en la confianza—tanto en el código QR como en la marca asociada. Muchos ataques crean una sensación de urgencia con un supuesto beneficio (por ejemplo, un concurso) o una consecuencia negativa por no actuar (por ejemplo, una cuenta bloqueada). En septiembre de 2023, se observó un aumento del 51% en los ataques de quishing en comparación con la cifra acumulada de enero a agosto de 2023. Además, los códigos QR maliciosos representaron el 9.5% de todos los códigos QR escaneados en septiembre de 2023.
¿Cómo se ve un ataque de phishing basado en códigos QR?
El phishing con códigos QR utiliza una tecnología ampliamente utilizada que genera confianza, donde los atacantes colocan nuevos códigos QR maliciosos en ubicaciones físicas o los envían como parte de un ataque de phishing por correo electrónico o mensaje de texto. Aquí algunos ejemplos:
Un código QR se coloca en la puerta de un banco. Al escanearlo, se pide al usuario que inicie sesión en su cuenta bancaria para participar en un concurso para ganar $100, que se depositarían automáticamente en su cuenta. El sitio web parece estar relacionado con el banco.
Sin embargo, este código QR es fraudulento y todos los detalles bancarios ingresados pueden ser utilizados para fraude.
2. Código QR Digital
El usuario recibe un correo electrónico de su tienda favorita con un código QR para inscribirse en un nuevo programa de lealtad. Al escanear el código en la pantalla de su computadora, se le pide que ingrese sus datos personales, incluyendo nombre, dirección, nombre de usuario y contraseña.
Este correo electrónico contiene un código QR fraudulento y es un ataque de phishing, similar a otros ataques de phishing, pero aprovechando la nueva tecnología. Esos detalles ahora pueden ser utilizados para acceder al sitio web del minorista y cualquier información almacenada allí, incluyendo detalles de tarjetas de crédito. Si esa contraseña se reutiliza en otros sitios, lo cual admite el 39% de las personas, podría ser utilizada en otros fraudes. Además, la información personal puede ser vendida en el mercado negro para ser utilizada en futuros ataques de phishing.
¿Cómo puedes protegerte de los ataques de phishing con códigos QR?
1. Verifica la fuente
Aunque los códigos QR no pueden ser secuestrados, es muy fácil colocar un nuevo código QR fraudulento sobre una fuente legítima.
Los códigos QR en stickers, sin marca o colocados en lugares inusuales deben ser tratados con precaución.
Los códigos QR de una fuente desconocida no deben ser confiables. Los códigos QR enviados por correo electrónico deben ser tratados con extrema precaución, excepto los boletos móviles que son leídos por terceros (por ejemplo, boletos de conciertos).
Siempre que tengas dudas, ignora la forma “fácil” de responder al código QR y en su lugar verifica que el código QR sea legítimo contactando directamente a la marca desde su sitio web estándar, llamando al servicio al cliente o preguntando a un empleado en persona.
2. Ten cuidado al compartir información personal
Proteger eficazmente la información personal y financiera y confiar en un sitio web puede ser un desafío para muchas personas. De hecho, alrededor del 32% de las personas no confían en que puedan identificar un sitio web fraudulento.
A medida que los ataques de phishing se vuelven más difíciles de identificar y utilizan nuevas tácticas como los códigos QR, ten cuidado con los sitios web que piden información personal, información de inicio de sesión o detalles financieros.
3. Ten cuidado con los métodos de pago
Aunque son convenientes, no todos los métodos de pago están igualmente protegidos. Evita métodos de pago sospechosos, como PayPal o transferencias electrónicas, y evita las tarjetas de débito, que no están protegidas. Opta por una tarjeta de crédito con protección al consumidor para cualquier compra. Nunca reveles información bancaria ni transfieras fondos como resultado de una interacción con un código QR.
4. Habilita MFA resistente al phishing en tus cuentas
Siempre que sea posible, habilita la autenticación multifactor (MFA) en tus cuentas para dificultar que los ataques de phishing tengan éxito. Aunque cualquier forma de MFA es mejor que solo usar un nombre de usuario y contraseña, no todas las MFA son iguales. Busca una opción de MFA resistente al phishing, como las claves de seguridad físicas como YubiKey, para brindar protección avanzada a las cuentas en línea. Las claves de seguridad detienen los ataques de phishing al requerir algo que conoces (una contraseña) y algo que tienes (una clave de seguridad) que insertar en el dispositivo y tocar físicamente para acceder a las cuentas.
Para aquellos sitios que aún no soportan métodos resistentes al phishing, usa un gestor de contraseñas confiable, como 1Password, para generar credenciales fuertes y únicas por sitio y facilitar los inicios de sesión entre dispositivos.
—–
Para asistencia personalizada y más información, ¡contáctanos en Inntech!
