Raquel Puebla e Itxaso Reboleiro, analistas de ciberinteligencia en Entelgy Innotec Security, nuestra compañía líder en ciberseguridad, nos ofrecen las claves para entender esta ciberamenaza.
El QRishing, también conocido como quishing, es un tipo de estafa cibernética cuya utilización se ha extendido los últimos años, especialmente tras la pandemia de la COVID-19, cuando todo tipo de organizaciones (especialmente del ámbito hostelero y sanitario) comenzaron a utilizar códigos QR (Quick Response) en sus instalaciones como medida de higiene.
El término QRishing nace de la unificación de los términos ‘QR’ y ‘phishing’ y consiste en el diseño de códigos QR falsos que redirigen a sitios web fraudulentos. “Por lo general, solicitan información sensible al usuario, que después es utilizada por los ciberdelincuentes (que desarrollaron el QR de la estafa) para realizar otros ciberataques. Conducen a la instalación de aplicaciones móviles con malware o permiten cometer fraude bancario, entre otras posibilidades”, explican ambas profesionales.
Con la popularización de estos códigos, esta ciberamenaza no ha dejado de crecer. Así, la estafa se encuentra en auge gracias al uso de técnicas de ingeniería social, dado que el éxito del QRishing depende de cuestiones como la confianza del usuario, la costumbre y masividad con la que se tratan los escaneos de códigos QR y la dificultad que supone distinguir los códigos legítimos de los que no lo son.
Es habitual que los ciberdelincuentes adhieran pegatinas con QR fraudulentos sobre códigos legítimos empleados por establecimientos y locales comerciales. Este último caso ha ocurrido recientemente con el servicio público de bicicletas eléctricas de Madrid.
También es común que se falsifiquen multas de tráfico incorporando códigos QR falsos para colocar dichas multas bajo los limpiaparabrisas de vehículos. De este modo, el código simula constituir una pasarela de pago con la que abonar la multa, y que en realidad proporciona al ciberatacante una cuantía monetaria o datos sensibles del usuario. “En 2022 se detectaron casos de Qrishing en parquímetros de distintas ciudades estadounidenses, donde los ciberdelincuentes colocaron códigos QR falsos que les permitían robar los detalles de pago de los usuarios de estos dispositivos”, añaden nuestras compañeras de Entelgy Innotec Security.
QR inverso y QRLjacking
También se ha vuelto común el fraude que se conoce como "QR inverso", mediante el cual “un ciberdelincuente, por ejemplo, enseña a un camarero, en el momento de abonar el pago de la cuenta por la consumición, un código QR con el que presuntamente haría efectivo el pago cuando, en realidad, está realizando una solicitud de dinero o datos”, explican.
Otra de las amenazas de phishing en auge y que se basa en códigos QR es el conocido como "QRLjacking", con el que el ciberdelincuente trata de secuestrar los accesos a servicios que permiten la opción de iniciar sesión a sitios mediante un código QR, como puede ocurrir con WhatsApp, “permitiéndole obtener y visualizar toda clase de información sensible o confidencial”.
Puebla y Reboleiro aseguran que, valiéndose de la ingeniería social, el auge del QRishing también radica en la confianza que los individuos depositan en entidades de confianza al ofrecer ciertos servicios o descuentos, “siendo común que los ciberdelincuentes abusen de este hecho para distribuir anuncios que hacen referencia a descuentos falsos en plataformas de comercio online, que serían otorgados a aquellos individuos que escaneen un determinado código QR”. Esto es utilizado, no solo para comprometer al usuario en particular, sino también para conseguir que este comparta el código a sus contactos.
Desde Entelgy Innotec Security, seguimos trabajando en la protección de personas y organizaciones contra los riesgos en línea. La ciberseguridad es fundamental en la era digital actual, ya que los ciberataques y las amenazas cibernéticas son constantes. Por eso, nuestra misión es ayudar a crear un entorno digital más seguro.