Quishing, la nueva modalidad de robo de datos a través de códigos QR crece en el mundo

Según el reporte de Incident Response Q4 2023 realizado por Cisco Talos -equipo especializado en inteligencia de amenazas de ciberseguridad de Cisco- (cuarto trimestre 2023), hubo un aumento significativo en el phishing (técnicas de engaño para robo de datos) con códigos QR durante el año pasado en el mundo.

No solo roban datos personales. Según el informe 2023 Not (Cyber) Safe For Work Report, de Agency, el 97% de los trabajadores accede a sus cuentas laborales desde sus dispositivos personales, lo que ha potenciado la probabilidad de ataques a nivel corporativo a través de esta modalidad.

Según el regional sales manager de ciberseguridad de Cisco, Juan Marino, mediante el “quishing” -combinación de las palabras QR y phishing- los ciberdelincuentes intentan engañar a las personas para que escaneen códigos QR maliciosos que los redirigen a sitios web falsos o que descarguen aplicaciones maliciosas (como archivos malware).

Explicó que los atacantes suelen distribuir códigos QR falsos en lugares públicos, en carteles, en pegatinas o incluso en sitios web y correos electrónicos legítimos de trabajadores en las empresas.

“Estos códigos pueden parecer legítimos y llevar a las víctimas a sitios que imitan páginas de inicio de sesión, donde se les solicita ingresar información, con el objetivo de acceder, por ejemplo, a nombres de usuario, contraseñas, números de tarjetas de crédito u otra información personal que pueda ser utilizada para cometer fraudes”, explicó Marino.

Impacto en empresas

El ejecutivo explicó que los atacantes han optado por esta dinámica de engaño debido a la confianza que genera el uso de códigos QR. “Algunas personas ni siquiera se preguntan si puede haber un ataque detrás de eso. Entonces los delincuentes ven al QR como un método perfecto, infalible y novedoso de entregar el phishing”, dijo.

Marino señaló que esta modalidad también se ocupa en entornos corporativos, donde la principal táctica es el envío de un código QR al correo electrónico de un trabajador, utilizando un mensaje o excusa para que este lo escanee.

Una vez escaneado el código, usualmente se solicita rellenar un formulario que permite a los atacantes acceder a credenciales de acceso, o también redirige a los afectados a descargar archivos maliciosos que pueden ser utilizados para robar información corporativa.

“Si bien hay empresas que tienen mecanismos de defensa, los teléfonos no tienen ni el antivirus ni todas las protecciones corporativas, en especial si es un celular que no es de la compañía. Como la gente usa su propio teléfono, ahí está el truco”, añadió Marino.