Qué es el quishing y cómo puedes evitar las estafas con códigos QR

El escaneo de los códigos QR ha experimentado una notable popularidad en los últimos años.

Se trata de un método que puede almacenar determinado tipo de información, como URL de sitios web, y que adquirió fama desde la pandemia por Covid-19 con el fin de evitar las interacciones físicas con objetos o personas.

Tiene una amplia gama de usos, como consultar el menú de un restaurante, cancelar una cuenta, identificar un paquete que será enviado y hasta pagar el transporte público.

El problema está en que, como ha ocurrido con otras tecnologías, los códigos QR están asociados a varios riesgos.

A propósito del auge que tienen en la actualidad, ha surgido un nuevo tipo de estafa que usa esta herramienta para cometer fraude. Se trata del quishing.

Los códigos QR son representaciones de datos que pueden escanearse con la cámara de los smartphones. Una vez que el lector descifra el código, usualmente este almacena un enlace, aunque también pueden ser otro tipo de contenidos como textos e imágenes.

Gran parte de su popularidad se debe a que son sencillos y eficientes de usar para obtener información.

El quishing, también conocido como qrishing, precisamente aprovecha esa ventaja que tiene la tecnología: es una modalidad de ciberataque que con códigos QR fraudulentos pretende engañar a los usuarios, dirigirlos a sitios web maliciosos y robar datos sensibles.

Se trata también de un tipo de phishing -de ahí viene su nombre-, que es una estrategia en que los ciberdelincuentes usan correos electrónicos o llamadas para suplantar a personas de confianza y así atacar al usuario.

Este tipo de ciberataque usualmente se basa en que el usuario ve un código QR aparentemente inofensivo y decide escanearlo con su dispositivo, con la misma facilidad que si fuera uno auténtico. Luego aparece la opción de consultar una URL y dirige a una página maliciosa, sin que el usuario pueda identificar que no es segura. La página luego busca robar información confidencial, como datos bancarios, credenciales para iniciar sesión, así como instalar un software malicioso (malware).

Scott Ruoti, profesor de Ciencias de la Computación de la Universidad de Tennessee (Estados Unidos), detalló a la BBC que otro método que podría ocurrir con los códigos QR fraudulentos es que, después de escanearlos, la URL conduzca a un sitio auténtico y la tecnología lo engañe con el fin de que haga una acción dañina al usuario.

Los códigos QR engañosos podrían estar presentes en lugares públicos, especialmente donde los usuarios pretenden consultar un menú, acceder a una red de Wi-Fi pública o ver una oferta publicitaria.

Desde Infobae recalcan que en verano tiende a ser la época donde más se dan ataques de este tipo, debido a que durante las vacaciones, las personas tienen la necesidad constante de usar esta tecnología para consumir en restoranes y suelen despreocuparse un poco más.

Reconocer códigos QR que tienen fines maliciosos podría ser una tarea compleja, considerando que lucen idénticos a los legítimos.

Sin embargo, hay algunas estrategias que se pueden realizar para brindar más protección ante este tipo de ciberataque.

• Desconfía de los códigos QR de procedencia desconocida y que lleguen de forma inesperada. Si te encuentras con uno en la vía pública, lo has recibido en tu correo o en un mensaje sin haberlo pedido, evita escanearlos para mantener tu seguridad.
• Si realizas pagos o transacciones con códigos QR, verifica que la acción ha resultado bien tanto para el comprador como el vendedor.
• Si el código QR está impreso en una tienda, restorán u otros comercios, intenta constatar de que no fue manipulado o tenga un adhesivo pegado sobre el código real. En el caso de que observes irregularidades, avisa a los responsables de los recintos.
• Algunas aplicaciones enfocadas en el escaneo de códigos QR permiten tener una vista previa de una URL. Esto puede ser útil para comprobar la seguridad del enlace y no caer en el quishing.
• Mantener actualizado el software de tu dispositivo puede ser otra medida de utilidad para protegerte de un ciberataque.