Quishing - cómo evitar estafas de phishing con QR Code

Quishing es la abreviatura de phishing con QR Code. Es una amenaza cibernética creciente donde los hackers usan un QR Code malicioso para engañar a usuarios desprevenidos y hacer que entreguen su información personal o financiera. El uso de códigos QR ha crecido exponencialmente desde su introducción a mediados de los 90 cuando fueron desarrollados para el seguimiento logístico. Ahora verás códigos QR en casi todos los empaques, y en la mayoría de las comunicaciones comerciales. Pero con una adopción tan rápida y generalizada también viene el riesgo, y los códigos QR están lejos de ser 100% seguros. Una estafa en particular que hace uso de códigos QR se conoce como Phishing QR o Quishing. En este artículo repasamos qué es el quishing, cómo funciona, y cómo puedes protegerte mejor de un ataque. ¡Así que comencemos!

¿Qué es el phishing y el quishing?

El phishing es un tipo de estafa que utiliza sitios web falsos u otros servicios para robar tu información personal, información financiera y dinero. Esto se puede hacer haciendo que el usuario ingrese voluntariamente su propia información en el sitio falso o instalando algún tipo de malware o spyware en su dispositivo.

La mayoría de las estafas de phishing ocurren a través de un correo electrónico no solicitado que parece ser de una fuente oficial. Muchos de estos correos electrónicos contendrán un QR Code que se instruye a los usuarios a escanear para avanzar con una oferta u obtener más información. Cuando una estafa de phishing involucra un QR Code, se conoce como phishing QR o quishing.

Aunque los correos electrónicos son la forma más común de distribuir estafas de quishing, se pueden encontrar en casi cualquier lugar donde esperarías ver un QR Code regular, incluyendo:

• Mensajes de texto
• Carteles
• Volantes para eventos
• Pegatinas en espacios públicos
• Correo postal y paquetes

Efectos en el mundo real

Las estafas de phishing han estado en aumento en los últimos años, con más y más cada día involucrando códigos QR. A medida que aumenta el uso de códigos QR, también aumenta el número de casos de quishing. De 2023 a 2024, el número de estafas de quishing aumentó más del 400% respecto a años anteriores. Gran parte de los datos robados en estos ataques eran de importancia personal o financiera. 

Se cree que el fuerte aumento en las estafas de quishing se debe al rápido incremento en la adopción de códigos QR. Los códigos QR son más comunes que nunca ahora, especialmente en el sector financiero. 

De las industrias afectadas por quishing, alrededor del 29% ocurrió en el sector energético, convirtiéndolo en el más vulnerable. La mayoría de las estafas de quishing en este sector involucraron códigos QR incrustados en correos electrónicos. 

 

 

Ejemplos recientes de estafas de quishing incluyen 

• Pegatinas falsas siendo colocadas en las estaciones de carga de vehículos eléctricos y parquímetros públicos
• Promociones falsas para restaurantes y otros negocios
• Códigos que prometen información médica 
• Apps de pago falsas
• Estafas de criptomonedas

Medidas preventivas

El escepticismo saludable siempre es una gran medida preventiva cuando se trata de cualquier tipo de estafa. Es sabio tratar cada QR Code que veas, digital o de otra manera, con la misma cantidad de escrutinio que le darías a un enlace URL estándar. En muchos casos, puedes saber cuándo un enlace llevará a algún lugar nefasto, y lo mismo aplica para los códigos QR. 

Si escaneas un código y tu navegador dice que parece inseguro, entonces es bueno confiar en él y no seguir adelante. Además, si ves que un QR Code en la calle ha sido pegado sobre uno preexistente, esa es usualmente una señal de que ha sido manipulado. En este caso, también puede ser una buena idea arrancar el código falso para que nadie más sea estafado. 

Un buen proceso de pensamiento a seguir es que si parece demasiado bueno para ser verdad, muy probablemente lo es. Si ves un QR Code con una oferta increíble, como "escanea este código para ganar $10,000", entonces es casi seguramente un código falso que infectará tu dispositivo o robará tu información. 

La mayoría de los navegadores móviles tienen características de seguridad integradas para protegerte a ti y a tus datos, pero algunas cosas aún pueden pasar desapercibidas. En casos como este, una VPN u otro servicio de monitoreo de identidad puede ser de gran ayuda. También es una buena idea mantener un ojo cercano en tu información y finanzas, para que puedas detectar cualquier irregularidad antes de que sea demasiado tarde. 

También es importante difundir la palabra sobre posibles estafas, especialmente a familiares mayores, quienes están particularmente en riesgo de ser objetivo de estafadores.

Qué hacer si escaneas un código malo

Es posible ser tan cuidadoso como puedas y aún encontrarte accidentalmente escaneando un código falso. Si alguna vez te encuentras en esta situación, aquí hay algunas cosas que puedes hacer para ayudar a reducir los efectos negativos. 

• Toma acción INMEDIATAMENTE 
• Cambia contraseñas
• Contacta a tu banco 
• Informa a la Comisión Federal de Comercio
• Dile a amigos y familia
• Congela o pon una retención en tus finanzas

Conclusión

Aunque todavía hay muchos peligros involucrados en el uso de códigos QR, la tecnología permanece relativamente segura. En la mayoría de los casos, no son los códigos QR en sí mismos los que son peligrosos, sino los sitios a los que enlazan o los individuos nefastos detrás de ellos. En la mayoría de los casos, tu navegador te advertirá si un código parece sospechoso antes de redirigir. 

Esperamos que al leer este artículo ahora estés más informado y equipado para lidiar con un ataque de quishing. Solo saber qué señales buscar y cómo lidiar con un ataque después de que sucede puede reducir enormemente el riesgo que tomas al escanear códigos QR. Como solían decir las caricaturas del sábado por la mañana: saber es la mitad de la batalla.