Entorno digital

QRshing: cómo evitar el phishing en el uso de los códigos QR

25 Oct 2022

Es probable que hayas oído hablar de phishing, una práctica que consiste en el envío de enlaces maliciosos para captar información personal o bancaria por parte de los usuarios, y utilizarlos con fines malintencionados.

En este tipo de engaños, los estafadores tienden a hacerse pasar por bancos o plataformas por las que los usuarios navegan con frecuencia para obtener sus datos, generalmente a través de SMS o correos electrónicos. Sin embargo, esta práctica ha evolucionado hacia una nueva modalidad: los códigos QR, dando lugar a lo que conocemos como QRshing.

Entendiendo a los códigos QR: ¿cómo funcionan?

Como consecuencia de la obligatoriedad de mantener la distancia física a raíz de la pandemia, el uso de los códigos QR se ha generalizado. Se trata de códigos de “Quick Response”, o respuesta rápida, muy fácilmente reconocibles por su estética cuadrada con combinaciones de puntos en blanco y negro.

Cada código está asociado a una información distinta, de manera que, cuando un dispositivo los lee, identifica al momento qué información debe mostrar.

De esta forma, te permite conectarte a distintos servicios o visitar diversas páginas web y documentos, como la carta de un restaurante. Un avance tecnológico que también ha traído consigo un nuevo abanico de posibilidades para los ciberdelincuentes. Por este motivo, es importante saber cómo identificar prácticas de QRshing, falsos códigos QR y cómo proteger tus dispositivos frente a estos delitos.

Entonces, ¿qué es el QRshing?

El QRshing, o QR phishing, es un término con el que nos referimos a las prácticas delictivas que consisten en ofrecer falsos códigos QR a los usuarios para acceder a sus datos bancarios e información personal con fines delictivos. A través de estos códigos, los estafadores suplantan la identidad de determinadas entidades y ofrecen un falso código QR que incita a diferentes acciones:
● Redirigen al usuario a un enlace en el que, con un solo clic, hará que se descargue un malware con el que los delincuentes hackearán toda la información que contenga el dispositivo.
● Obliga al usuario a aportar sus datos utilizando una excusa creíble en la suplantación de identidad.

Casos de prácticas de QRshing

La novedad de uso que suponen los códigos QR para muchas personas hace que no sean capaces de ver hasta qué punto podrían estar ante un falso código. Estos son algunos ejemplos de este tipo de prácticas malintencionadas que utilizan los ciberdelincuentes gracias a los códigos QR:

● Falsas multas por aparcamiento: una de las prácticas más habituales es encontrar falsas multas en la luna de los coches suplantando a las multas oficiales que impone la policía. En estas multas, el usuario ve un código QR al que “debe” acceder para pagarla, cuando en realidad la intención es obtener los datos de su tarjeta de crédito.

● Emails: el phishing se lleva a cabo, tradicionalmente, en correos electrónicos, una práctica en la que se han introducido, también, los códigos QR. Así, los usuarios reciben un correo electrónico de una supuesta entidad financiera con un código QR en el que, supuestamente, deben rellenar sus datos personales. Las excusas que suelen utilizar los hackers son un cambio en la política de privacidad, una modificación de contraseña o la revisión de nuevos protocolos de seguridad.

● Parquímetros: esta práctica es muy similar a la de las falsas multas. En este caso, los usuarios ven, en las propias máquinas de estacionamiento regulado, falsos códigos QR en los que, supuestamente, pueden pagar las multas con reducción si lo hacen dentro de un período de tiempo limitado. En realidad, son una excusa para instalar malwares con los que robar los datos personales de los usuarios.

Cómo proteger tus dispositivos del QRshing

La seguridad es fundamental en los dispositivos que utilizamos hoy en día para evitar ataques de este tipo, como el QRshing. A continuación, te damos una serie de recomendaciones con las que podrás reducir los riesgos todo lo posible para evitar ser vulnerables ante este tipo de ataques delictivos:

● Si ves una pegatina con un código QR, asegúrate de que no esté superpuesta encima de otra. Esto podría ser una pista e indicar que no es el código QR original.

● Desactiva en tu teléfono la opción para abrir los enlaces de forma automática cuando escanees un código QR. Esto puedes hacerlo en los ajustes generales, y te permite revisar, siempre, cualquier enlace o dirección web a la que te lleve el código.

● Si vas a descargar una aplicación, hazlo, siempre, desde la tienda oficial del sistema operativo o desde la web corporativa del desarrollador.

● Instala antivirus eficaces en tus dispositivos que analicen, frecuentemente, la instalación de malwares.

● Evita compartir códigos QR con información personal. Si has decidido guardar tus datos importantes en un documento al que has asociado un código QR, no compartas esta información.

Caixa Popular apuesta por tu seguridad

La información bancaria es una de las que más interesan a los ciberdelincuentes, que utilizan los códigos QR para obtenerla de manera fraudulenta.

En este sentido, en Caixa Popular estamos firmemente concienciados en la lucha contra este tipo de delitos, por lo que hemos dotado a nuestra aplicación de banca digital con las máximas garantías de seguridad. En esta línea, debes saber también, que disponemos de un protocolo de seguridad muy claro en caso de que nuestros clientes sospechen que han sido víctimas de un ciberdelito.

Este protocolo incluye mecanismos de seguridad personal para evitar una suplantación de identidad. No obstante, es conveniente que te pongas en contacto con nosotros en el momento en que sospeches que has sido víctima de QRshing, para que podamos actuar con la mayor celeridad posible y bloquear el acceso a tu cuenta bancaria.

Escrito el 25 de Octubre de 2022