Atención a los códigos QR en los correos electrónicos: los hackers los usan para robar datos
Cómo funciona el QRishing Sectores más afectados Cómo protegerse Medidas para frenar el fraude El uso de códigos QR se ha convertido en una herramienta...
El uso de códigos QR se ha convertido en una herramienta habitual en el día a día de los ciudadanos. Desde pagar en un restaurante hasta acceder a la carta de un menú o verificar la autenticidad de un billete electrónico. Sin embargo, la misma tecnología que facilita gestiones cotidianas está siendo explotada por ciberdelincuentes para robar credenciales de acceso y datos financieros de sus víctimas.
Este método de ataque, conocido como QRishing, ha experimentado un auge en los últimos meses, con más de medio millón de correos electrónicos maliciosos detectados en los últimos tres meses, según la empresa de ciberseguridad Barracuda.
El QRishing no es una amenaza nueva, pero su uso ha crecido significativamente en los últimos años. Diego León, CEO de Flameera, compañía especializada en ciberseguridad, señala que esta técnica ya se documentaba en 2011, aunque recientemente se ha convertido en un problema cada vez más frecuente debido a la masificación de los códigos QR tanto en espacios físicos como en entornos digitales.
“Se estima que casi un 10% de las nuevas campañas de phishing incluyen códigos QR”, explica el experto.
Cómo funciona el QRishing
El QRishing es una variante del phishing tradicional que, en lugar de utilizar enlaces fraudulentos en correos electrónicos o mensajes de texto, emplea códigos QR para redirigir a los usuarios a páginas web falsas.
Una vez en estas plataformas fraudulentas, las víctimas son incitadas a introducir credenciales de acceso o información bancaria, que quedan en manos de los atacantes.
La estrategia de los ciberdelincuentes consiste en incrustar códigos QR en documentos PDF adjuntos en correos electrónicos aparentemente legítimos. Estos mensajes suelen suplantar a empresas conocidas o instituciones financieras, logrando así que el usuario baje la guardia.
Otro método recurrente es la colocación de códigos maliciosos en entornos físicos, como parquímetros, estaciones de carga de vehículos eléctricos o carteles promocionales. “Si el código QR está pegado encima de otro o parece sospechoso, es mejor evitar escanearlo”, advierte León.
Uno de los motivos por los que esta técnica resulta especialmente efectiva es la dificultad de los dispositivos móviles para mostrar la dirección completa de una web antes de que el usuario acceda a ella.
“Los teléfonos tienen pantallas más pequeñas y, a menudo, no permiten ver el enlace completo antes de redirigir al usuario. Además, muchas empresas bloquean el acceso a páginas sospechosas en ordenadores corporativos, pero esta protección no existe en los móviles personales desde los que se escanean los códigos”, explica el experto en ciberseguridad.
Sectores más afectados
Los sectores en los que los ciberdelincuentes han encontrado un mayor éxito con esta técnica son aquellos en los que el uso de códigos QR está normalizado.
Entre los más afectados se encuentran los restaurantes y cafeterías con menús digitales, estacionamientos y parquímetros, estaciones de carga de vehículos eléctricos, comercios con pagos electrónicos y eventos en los que se exhiben carteles con promociones.
“Los atacantes se aprovechan de la confianza del usuario en estos entornos para que escanee el código sin dudarlo”, apunta León.
El objetivo principal de los ciberdelincuentes es el robo de credenciales de acceso a servicios populares como Microsoft, OneDrive o SharePoint. En otros casos, buscan obtener información financiera o instalar software malicioso en el móvil de la víctima.
Cómo protegerse
Existen algunas señales que pueden ayudar a identificar intentos de fraude mediante códigos QR. León recomienda desconfiar de códigos impresos en pegatinas y colocados en lugares públicos, sobre todo si parecen haber sido superpuestos a otros códigos originales.
Además, si al escanear el código se solicita información personal o bancaria, es mejor no continuar con la operación. Como regla general, se debe evitar escanear códigos QR de fuentes desconocidas.
En el ámbito empresarial, las compañías pueden implementar soluciones de seguridad que detecten correos electrónicos con ataques de tipo QRishing y los eliminen antes de que lleguen a los usuarios.
También existen tecnologías criptográficas de validación de códigos QR, aunque aún no están ampliamente adoptadas. “La mejor solución sigue siendo la prevención y la formación. Es crucial que las empresas eduquen a sus empleados sobre estas amenazas para minimizar riesgos”, asegura León.
Medidas para frenar el fraude
A pesar del aumento de este tipo de ciberataques, no existen regulaciones específicas para combatir el QRishing. Sin embargo, la legislación vigente en materia de protección de datos y fraudes electrónicos ya contempla sanciones para quienes cometan estafas de este tipo.
Algunas normativas, como DORA y NIS2, enfatizan la necesidad de formar continuamente a los empleados en ciberseguridad, lo que podría ayudar a mitigar este tipo de ataques.
Mientras la regulación avanza, los expertos insisten en que la concienciación es clave para evitar caer en fraudes digitales. “Los ciberdelincuentes están en constante evolución y buscan nuevas formas de engañar a los usuarios. Ser precavido y cuestionar la legitimidad de cualquier enlace o código QR es la mejor defensa”, concluye el CEO de Flameera.
