QRishing: phishing oculto en códigos QR

Conoce en qué consiste esta técnica de engaño y protege tu información privada.

01/03/2022

Los códigos QR (códigos de respuesta rápida, por su traducción del inglés) contienen enlaces que redirigen a contenidos alojados en páginas web. Los teléfonos móviles inteligentes los escanean cuando se coloca la cámara sobre ellos mediante una aplicación descargada por los usuarios (aunque en la actualidad la mayoría de dispositivos ya incluyen de serie, entre sus funcionalidades básicas, la de lectura de estos códigos).

Los códigos QR se han extendido ampliamente en la sociedad y, a día de hoy, son empleados para acceder a información almacenada digitalmente en diversos ámbitos, como el sanitario, el hostelero o el de transporte, por ejemplo.

La amplia utilización de estos códigos, especialmente desde que comenzó la pandemia de Covid-19, ha llamado la atención de los ciberdelincuentes, quienes han aprovechado las funcionalidades de los códigos QR para redirigir a los usuarios a páginas web fraudulentas. Este tipo de fraude ha sido denominado QRishing, es decir, phishing a través de códigos QR. Estos correos electrónicos redirigen a páginas web que suplantan la identidad de una empresa y solicitan a los usuarios su información privada, como sus claves de acceso, o a páginas infectadas con software malicioso (malware).

El QRishing no solo está siendo ejecutado a través de emails o mensajes. Los delincuentes también colocan estos códigos QR fraudulentos en espacios públicos para intentar estafar a las personas. Es el caso de los QR falsos ubicados recientemente en los parquímetros de algunas ciudades de Estados Unidos para robar la información de pago de los clientes. 

En España, la Policía ha hecho hincapié en tener especial cuidado cuando se consultan precios a través de los QR en gimnasios, restaurantes, cines o comercios y cuando se realizan pagos a través de ellos. La clave está, apuntan las autoridades policiales, en configurar la aplicación que escanea los QR para que no redirija de forma automática a la página web o archivo una vez escaneado el código, o instalar una app que permita visualizar previamente el enlace.

Qrishing

Consejos de seguridad para protegerte del QRishing:

- Si tienes instalada una aplicación de lectura de códigos QR en tu dispositivo, desactiva la opción de abrir automáticamente los enlaces al escanearlos, así podrás revisar la dirección web antes de acceder a la página.

- En caso de recibir un QR por correo electrónico o aplicación de mensajería instantánea, revisa detenidamente la dirección del remitente y/o la URL de la página a la que te intenta redirigir para comprobar que se trata de una comunicación legítima. En caso de duda, no proporciones información sensible, como contraseñas o datos bancarios, en dicha página. Siempre es preferible acceder desde el navegador a las páginas web oficiales de las compañías o comercios para realizar las acciones deseadas.

- Antes de escanear un QR físico en un comercio o restaurante, por ejemplo, comprueba que no haya ninguna pegatina sobre el código original, ya que los delincuentes colocan adhesivos con QR manipulados sobre los legítimos. 

- Evita compartir códigos QR con información sensible (documentos de salud, billetes de avión, entradas de espectáculos, etc.) a través de las redes sociales o aplicaciones de mensajería instantánea y almacénalos en tu dispositivo de forma segura.

- Instala un antimalware en tu dispositivo móvil y realiza análisis periódicos.

- Descarga siempre las aplicaciones desde los mercados oficiales o a través de la página web oficial del desarrollador.