A la hora de perpetrar sus ataques de phishing, los delincuentes actualizan constantemente sus técnicas para adaptarse al entorno. En esta ocasión, queremos hablarte de un método que han desarrollado para conseguir su objetivo: comprometer la seguridad de nuestros dispositivos y tener acceso a nuestros datos personales y bancarios. Estamos hablando del QRishing.
Se trata de falsos códigos QR (Quick Response) que, en realidad, esconden enlaces maliciosos.
El auge de los códigos QR
En distintas áreas y en diferentes negocios, el uso de códigos QR es cada vez mayor. A la entrada de los cines, para validar todo tipo de documentación oficial, en licencias, billetes de avión y tren o incluso en ciertas identificaciones personales. Pero, sin duda, si hay un ámbito en el que es muy complicado no ver códigos QR cada dos por tres es en la hostelería.
A raíz de la pandemia y bajo la premisa del contacto cero, se comenzó a generalizar entre los bares y restaurantes la publicación online de su carta o menú y su puesta a disposición de los clientes a través de estos códigos.
QRISHING, el código QR malicioso que usan los delincuentes
Lo que hacen los delincuentes aprovechando la popularidad de los códigos QR es sustituir los que son originales y propiedad de los negocios u organismos oficiales por los suyos propios. Así, incitan a sus víctimas a que los escaneen haciéndoles creer que son de confianza. Este es, precisamente, su principal rasgo distintivo: la suplantación de identidad de la empresa en cuestión.
Estos son algunos ejemplos de QRISHING:
- Pegatinas falsas que se colocan encima de los códigos QR de bares, restaurantes y tiendas.
- Multas de tráfico que proporcionan un enlace a una web en la que proceder al pronto pago de la sanción y que, en realidad, es falsa y consigue que el dinero vaya directamente a la cuenta del estafador.
- Uso de un código QR para conseguir que la víctima, escaneándolo, se instale un malware en su dispositivo.
Un fraude cada vez más común
Ante el incremento de las estafas mediante QRISHING, el Banco de España ha tomado cartas en el asunto. En su Portal del Cliente Bancario, ha publicado una serie de recomendaciones para evitar caer en la trampa:
- Si eres dueño de una empresa, comprobar frecuentemente que los QR que pones a disposición de tus clientes no han sido falsificados.
- En general, confíar en la web solo si su dominio comienza por “https” (aunque no es una garantía total).
- Usar aplicaciones de lectura de códigos que permiten visualizar los links antes de abrirlos (en el caso de los teléfonos Android, por ejemplo, Google Lens viene ya preinstalada).
- Si el enlace se envía acortado, siempre fijarse primero en su formato alargado.
- Si en la web de destino nos solicitan datos, volver a acceder a través de la página oficial antes de darlos.
Desde Sello Legal nos sumamos a estas recomendaciones y te aconsejamos permanecer muy atento a cualquier intento de phishing. Recuerda que, aunque creas que conoces todas las técnicas, estas cambian constantemente y la mejor herramienta que tenemos los usuarios para protegernos es la prevención.