La estafa del código QR y el quishing: ¡Ojo con lo que escaneas!

La estafa del código QR sirve para atacar los teléfonos móviles, espiar a las empresas, cometer fraudes y obtener credenciales de acceso a aplicaciones y plataformas

Una ciudadana inglesa escaneó un código QR para pagar el parking de una estación de tren gestionado por la compañía ferroviaria TransPennine Express. Sin embargo, se vio envuelta en un fraude por valor de 13.000 libras. Este ejemplo, de finales de 2023, visibiliza una amenaza en alza: la estafa del código QR.

Mediante esta nueva técnica de ataque, los delincuentes suplantan la identidad de empresas legítimas como compañías de parking, restaurantes o instituciones públicas, crean códigos QR falsos, engañan a sus víctimas para que los escaneen con sus teléfonos móviles y logran:

1. Descargar un malware en el dispositivo para espiar al usuario o acceder a aplicaciones como las apps bancarias.
2. Redirigir a la víctima a una web falsa en la que se le solicita información de gran valor como su nombre, apellidos, teléfono, email o datos bancarios. Y, a partir de ahí, hacerle cargos ilegítimos, suplantar su identidad para cometer fraudes financieros o vender sus datos para llevar a cabo otros ataques.

¿Por qué es tan peligrosa la estafa del código QR? ¿En qué consiste el quishing, una nueva variante de phishing? ¿Cómo se pueden evitar estos fraudes? Resolvemos estas preguntas a continuación.

1. La covid y la propagación de los códigos QR

Los códigos QR existen desde hace décadas, pero su presencia se ha convertido en omnipresente, sobre todo, desde la pandemia del covid-19. ¿Por qué? La necesidad de evitar el contacto físico para luchar contra la expansión del virus provocó que procedimientos analógicos, como consultar la carta de un restaurante, se digitalizaran a través del uso de códigos QR y un dispositivo que nos acompaña a todas partes: nuestro smartphone.

A pesar de que la pandemia ha llegado a su fin, muchos restaurantes y bares siguen manteniendo el uso de códigos QR en vez de cartas físicas. Además, los QR proliferan en espacios públicos como estaciones de tren, aeropuertos, paradas de autobús, hospitales o edificios administrativos. Pero también están presentes en toda clase de tiendas e, incluso, en anuncios publicitarios urbanos.

¿Por qué? Facilitan la descarga de apps móviles, porque redirigen a los usuarios directamente a la aplicación en Google Play o la Apple Store; y agilizan la consulta de webs y la descarga de PDFs.

Como sucede desde los albores de la digitalización, los delincuentes han tomado nota de la proliferación de los QR para explotarla en su beneficio. De ahí que la estafa del código QR se haya convertido en una amenaza a tener en cuenta para las empresas y el conjunto de la ciudadanía.

2. La estafa del código QR: Los espacios públicos suponen un riesgo

¿Para evitar la estafa del código QR debemos dejar de escanear las cartas de los restaurantes? Según el National Cyber Security Centre (NSSC) del Reino Unido, la estafa del código QR es muy anecdótica en bares, pubs o restaurantes, puesto que los propietarios detectan el engaño con rapidez y porque resulta más difícil sustituir los códigos legítimos por los fraudulentos.

Sin embargo, sí puede suponer una amenaza seria en espacios públicos como estaciones de tren, paradas de autobús, parquímetros, aparcamientos o estaciones de servicios públicos de bicicletas como el de la ciudad de Madrid, BiciMAD. ¿Por qué?

1. Resulta más factible llevar a cabo la sustitución de códigos sin que nadie se percate.
2. Si la estafa del código QR está bien diseñada técnicamente, es posible suplantar la identidad de empresas de transporte y administraciones públicas sin que la víctima se percate.
3. El número de víctimas potenciales es notable. Pensemos, por ejemplo, en una estafa del código QR que suplanta a una aplicación que se emplea para pagar la zona azul de decenas de ciudades.
4. Las personas que escanean QR en estos espacios generalmente van con prisa y quieren obtener cuanto antes la app móvil o el acceso a la plataforma web que necesitan para, por ejemplo, abonar el coste de un aparcamiento. Esta urgencia provoca que no presten atención a los pequeños detalles que pueden evidenciar el engaño.
5. A ello debemos sumar el hecho de que es posible que las víctimas sean profesionales durante desplazamientos en su jornada laboral y que usen un teléfono de empresa para escanear un QR. De tal forma que los delincuentes podrían desplegar un ransomware o un infostealer en un dispositivo corporativo, pudiendo obtener información y datos empresariales de gran valor para cometer extorsiones y fraudes.

3. Quishing, el phishing es como la energía: solo se transforma

La estafa del código QR se ha hibridado con una de las técnicas maliciosas más empleadas en el mundo desde hace años: el phishing. El resultado de esta fusión es una nueva variante de ataque conocida como quishing. ¿En qué consiste?

1. Los delincuentes envían un email falso a sus víctimas, pero en vez de solicitarles que hagan clic en un enlace, les piden que escaneen un QR.
2. Las víctimas escanean el QR usando su teléfono móvil personal o profesional. Acto seguido:
   • Aterrizan en una página de phishing cuya apariencia es completamente real en la que se busca que o bien introduzcan credenciales de acceso a determinados programas o plataformas (software empresarial, redes sociales, cuentas bancarias online…).
   • Llegan a una página maliciosa para que descarguen un programa o un documento que están infectados con malware.
   • Se descarga automáticamente un PDF infectado con malware.
3. Los delincuentes usan las credenciales para acceder de forma ilegítima a programas o despliegan su malware para espiar a sus víctimas, robar datos críticos e, incluso, acceder a otras aplicaciones móviles de gran importancia.
4. En algunos casos la estafa del código QR y el quishing se combina con otras técnicas como llamadas falsas suplantando la identidad de entidades bancarias y, así, lograr que la víctima no sospeche en caso de que se produzcan cargos ilegítimos en su cuenta bancaria. Este fue el modus operandi de los actores maliciosos del primer caso que abordamos en este artículo.

4. ¿Por qué el quishing es una variante del phishing en alza?

1. El phishing es una técnica conocida ya por gran parte de la población. De ahí que muchas personas sean reticentes a pinchar en enlaces demasiado cortos o que no acaban de parecer verídicos. En cambio, el QR no muestra, de primeras, ninguna señal sospechosa.
2. Existen numerosas aplicaciones para crear QR en cuestión de segundos, por lo que no supone una complicación añadida a la preparación de una campaña de ingeniería social.
3. Los gestores de correos disponen de herramientas que sirven para detectar emails de procedencia sospechosa, pero resulta más complejo detectar la estafa del código QR.
4. Muchos profesionales emplean su móvil de empresa, pero, también su móvil personal para escanear el código QR malicioso. De tal manera que si los delincuentes emplean un malware pueden infectar un dispositivo que carece de las medidas de seguridad que sí tiene un ordenador corporativo. Esto facilita la expansión del malware y dificulta su detención antes de que los delincuentes logren sus objetivos.

5. Consejos para evitar ser víctima de la estafa del código QR

¿Qué pueden hacer las personas para evitar ser víctimas de la estafa del código QR o del quishing?

1. Se precavidos y usar el sentido común cuando se escanea un QR en un espacio público como estaciones de transporte o zonas de aparcamiento. Y, más aún, si se va a usar un dispositivo móvil que alberga credenciales de acceso e información de índole empresarial.
2. Comprobar que el código QR no está superpuesto a través, por ejemplo, de una pegatina.
3. Fijarse en la URL a la que dirige el QR, porque puede visibilizar que no se trata de un enlace legítimo de la empresa o institución suplantada.
4. Si se recibe un email en el correo profesional no es recomendable escanear el QR ni con el móvil de empresa, ni con el teléfono personal.
5. Actuar con cautela en la web a la que te redirige un QR. Antes de introducir ningún dato de carácter personal y financiero o descargar ningún documento o programa es fundamental comprobar que el enlace, los textos y la apariencia visual con coherentes.
6. En caso de que la estafa del código QR se lleve a cabo en un contexto profesional, es fundamental avisar al equipo de la empresa encargado de gestionar los incidentes de seguridad.

6. La importancia de fortalecer la seguridad de los teléfonos móviles

Más allá de los consejos básicos que venimos de listar, las empresas y administraciones que emplean QR en espacios públicos deben llevar a cabo un control permanente de sus códigos para evitar que sean suplantados y que su identidad se use para estafar a clientes y ciudadanos. En este sentido, los servicios de ciberinteligencia son esenciales para detectar fraudes digitales y combatir la piratería.

6.1. Servicios de ciberseguridad para enfrentarse a la estafa del código QR con éxito

Por otro lado, las empresas deben incorporar la estafa del código QR y el quishing a su panorama de amenazas y mejorar su resiliencia frente a ellas recurriendo a servicios de ciberseguridad:

• Test de ingeniería social adaptados a la casuística del quishing para analizar si los profesionales de una organización están preparados para evitar ser víctimas de estos fraudes y mejorar su capacitación.
• Auditorías de seguridad de aplicaciones móviles para detectar vulnerabilidades que puedan ser explotadas por los actores maliciosos si logran infectar teléfonos móviles corporativos.
• Gestión de vulnerabilidades para llevar a cabo una monitorización continua de ciberseguridad de la empresa, teniendo en cuenta, también, los riesgos vinculados al uso de teléfonos móviles y la posibilidad de que se realice una estafa del código QR contra un profesional de la organización.
• Respuesta a incidentes proactiva, que permita comprender el incidente en cuestión de segundos, identificar el alcance del compromiso y los permisos de los que disponen los actores maliciosos y orquestar una respuesta eficaz en el menor tiempo posible. Gracias a este servicio, si una empresa es víctima de la estafa del código QR o del quishing puede limitar el éxito del ataque y expulsar a los actores hostiles antes de que causen daños severos a la compañía.

En definitiva, la estafa del código QR y el quishing son una evolución del phishing que se aprovecha del auge de los QR para atacar a un dispositivo que se ha vuelto crítico en nuestra vida personal y, sobre todo, profesional y empresarial: el smartphone.

Para evitar que los actores maliciosos puedan espiar a una organización, cometer fraudes económicos o hacerse con credenciales de acceso a aplicaciones de vital importancia es fundamental incrementar el nivel de protección de estos dispositivos, a la vez que se previenen los ataques de ingeniería social.