Phishing a través de QR: claves para proteger a tus clientes

Los códigos QR no son una novedad. Sin embargo, no ha sido hasta la irrupción de la pandemia de COVID-19 y la eclosión de la Low Touch Economy que los hemos empezado a ver por todas partes. Escanearlos para acceder a información sobre un producto o servicio es cada vez más habitual, una práctica no exenta de riesgos. Por eso, los negocios deben pasar a la acción y proteger a sus clientes contra ataques como el phishing a través de QR o Qrishing.

Quien más, quien menos, tiene en su smartphone un escáner de códigos QR. Y esta es una oportunidad que los ciberdelincuentes no podían dejar escapar. Esa es la razón por la que, en los últimos tiempos, han comenzado a proliferar los conocidos como ataques de phishing a través de QR o Qrishing.

Estos ataques buscan que el usuario de un código QR proporcione sus credenciales mediante el escaneo de un código que puede estar presente en una página web, mensaje o correo electrónico, pero también en la mesa de un restaurante o un cartel en la pared de un establecimiento. Al escanearlo, se redirige al usuario a una página web que suplanta a la de la empresa, que le solicitará información confidencial.

Se trata de ataques que combinan tecnología con ingeniería social y que se aprovechan de la relación de confianza entre clientes y empresas para hacerse con información valiosa. Esta es la razón por la que las empresas que utilicen códigos QR para informar a sus clientes sobre productos o servicios deben permanecer alertas para protegerlos. Sin embargo, no es la única.

Los ataques de tipo phishing no son los únicos que pueden poner en riesgo a los usuarios de un negocio que utilicen códigos QR. Como estos elementos pueden hacer mucho más que abrir una página web, las posibilidades de fraude son muy variadas.

Los códigos QR pueden ejecutar comandos directamente. Por ejemplo, añadir contactos a la lista del smartphone, realizar llamadas o añadir una red wifi con credenciales para conectarse automáticamente.

Esto facilita, entre otras cuestiones, la descarga de código malicioso en el dispositivo, la suscripción a servicios premium no solicitada e incluso unir el teléfono a una botnet para participar en un ataque contra un sitio web legítimo. También abre la posibilidad de agregar un contacto a la lista del teléfono para ganar credibilidad en una llamada para tratar de estafar al usuario, hacer llamadas a cobro revertido o incluso identificar la ubicación del usuario.

Los secuestros de sesión a través de QR, por su parte, se caracterizan por la captura de las credenciales de un usuario cuando intenta acceder a un servicio de inicio de sesión mediante uno de estos códigos. Los ciberdelincuentes podrán después utilizarlas para acceder a la información contenida en la cuenta.

Está claro que hay personas dispuestas a aprovecharse de la popularidad de los códigos QR para realizar distintas estafas. Sin embargo, los negocios no se encuentran indefensos ante estos ataques.

De hecho, el Instituto Nacional de Ciberseguridad (INCIBE) propone una serie de buenas prácticas y recomendaciones que las empresas pueden poner en práctica. Así podrán continuar utilizando estos códigos con seguridad y, sobre todo, garantizar la de sus clientes.

Revisar de manera frecuente que los códigos QR presentes en un establecimiento o en sus canales digitales no han sido cambiados ni modificados por terceros puede ahorrar muchos disgustos.

Entre otras comprobaciones, conviene cerciorarse de que nadie ha colocado un código QR falso por encima del original para iniciar un ataque de phishing a través de QR. Esto sirve tanto para anuncios físicos —sobre los que resulta fácil poner pegatinas— como para banners y otros elementos digitales en webs y apps.

El link al que dirige el código QR también debe revisarse de manera periódica. En este caso, se debe comprobar que el código QR redirige efectivamente a la página que le hemos indicado y que coincide con la que se indica en la carta o el anuncio. También que la URL pertenece a un sitio confiable y que no aparece acortada con el fin de dificultar su comprobación por parte del cliente.

A la hora de generar los propios códigos QR, conviene confiar en servicios que ofrezcan las suficientes garantías de seguridad y que proporcionen un enlace correcto allí donde se desea dirigir al usuario.

En ocasiones, algunos negocios utilizan los códigos QR para facilitar el acceso a determinados servicios. Pueden ser de transporte, de ocio o incluso a áreas reservadas. En este caso, conviene ser lo más discretos posibles y no difundirlos en redes sociales para evitar fraudes.