El phising o la suplantación de identidad es una de las formas más peligrosas de atacar nuestra identidad digital, pertenencias y dispositivos y cada vez adquiere formas más enrevesadas de presentarse. Una de ellas es el quishing, qrishing o QR pishing: si no tienes claro cómo funciona esa amenaza y cómo puedes protegerte a ti y tus dispositivos, en este artículo te contamos cómo evitar riesgos.
¿Qué es el QRishing y cómo funciona?
El quishing o qrishing, ambas palabras derivadas de pishing con códigos QR (en inglés), es una técnica de phising que se vale de códigos QR para engañar a posibles víctimas. Como el phising en general, su misión es robar información confidencial, obligarnos a visitar una web e incluso instalar malware en tu teléfono.
Los códigos QR llevan años con nosotros, pero en la época de la pandemia su popularidad subió como la espuma al permitirnos acceder a gran cantidad de información sin necesidad de tocar nada, como por ejemplo a las cartas de los restaurantes. Basta con apuntar con el teléfono con la cámara abierta y listo (aunque haya otras aplicaciones para leerlos).
A simple vista un código QR no nos da información y ya nos hemos acostumbrado a encontrarlos en cualquier parte: en las marquesinas de los autobuses y otros medios de transporte público, en locales de restauración, edificios públicos... lugares ideales para colocar un código QR malicioso. Ese es el principio: los atacantes preparan un aparentemente inocente código QR (hay una larga lista de aplicaciones para crearlos, tanto en iOS como en Android).
Después solo tienen que colocarlos en sitios estratégicos para que su presencia cuele y nos invite a leerlos, sirva como ejemplo esos códigos QR maliciosos situados en el servicio de bicicletas de Madrid BiciMAD, aunque también en postes de farolas o simplemente en folletos, atrayendo nuestra curiosidad. A partir de aquí, estos códigos QR pueden redirigirte a portales de pago falsos, incluir enlaces maliciosos o malware para descargar.
Así es como el QR pishing puede afectarte
Como decíamos antes, es imposible detectar que estamos ante un código QR malicioso a simple vista, motivo por el cual para cuando nos damos cuenta quizás sea demasiado tarde. ¿Qué me puede pasar si leo un QR malicioso?
- Que te lleve a una web falsa. Phising clásico para que al leer el QR vayamos a una web que luce como la original, pero no lo es. Su objetivo es ganarse nuestra confianza para que proporcionemos información sensible como el número de teléfono, email o datos bancarios.
- Puede ser malware. Un código QR puede llevar una acción configurada para que descargue e instale un archivo como un troyano o ransomware tras su lectura (si nuestro navegador lo permite), lo que permitiría el robo de información o trackeo de tu actividad. Incluso podría instalarse un software malicioso que controlase las cuentas de tus redes sociales, lo que posibilitaría el envío de mensajes no autorizadas en Facebook, Instagram y similar.
Cómo evitar el QRishing o quising
Obviamente dejar de leer los códigos QR que nos encontremos no es una opción, ya que nos perderemos la gran funcionalidad de estas imágenes, como por ejemplo compartir el Wi-Fi. Sin embargo, sí que podemos optar por una postura más cauta:
- ¿Dónde está el código QR? Una cosa es que el camarero te facilite una tarjeta con el código QR y otra muy diferente es que te lo encuentres en la calle. No obstante, conviene verificar que el código QR no esté superpuesto sobre el original. En cualquier caso, en caso de duda y si estamos en un lugar con personal, por ejemplo una biblioteca o un restaurante, consulta antes.
- Un ojo a la dirección que enlaza. Cuando apuntamos con la cámara a un código QR, lo normal es que aparezca una URL a la que nos llevará y que nos puede dar una pista de la web a la que iremos. Si la URL está acortada y no hay forma de predecir el destino, tiene sentido no pulsarlo en caso de duda. Asimismo, conviene comprobar el protocolo empleado: que tenga HTTPS garantiza más seguridad que HTTP.
- Si ya estás en la web del código QR, analízala visualmente en busca de errores ortográficos, lenguaje pobre, imágenes con baja resolución... cualquier pista que pueda indicarte que estás ante una página falsa. Asimismo, si hay mensajes que invitan a la urgencia o requieren acciones inmediatas, mejor salir de allí. Finalmente, es recomendable no añadir datos personales y/o de pago.
- Usa la cámara de tu móvil para leer códigos QR. Quizás te sientas en la tentación de instalar una aplicación de terceros para leer los QR, pero podría ser una app maliciosa que emplean hackers para acceder a tu cámara, especialmente si no procede de las tiendas oficiales de aplicaciones. Recuerda: basta con tu cámara.
Portada | Xataka
En Xataka Móvil | El diccionario de las estafas telefónicas: qué son Phishing, Smishing, Vishing y Spoofing
Ver 1 comentarios