Los códigos QR han invadido nuestro entorno. Se encuentran en restaurantes, junto a los menús, y en destinos turísticos, brindando información adicional sobre monumentos. Simplemente escaneando con el móvil, se accede a una web con más detalles. Sin embargo, también son utilizados por ciberdelincuentes para ejecutar ataques maliciosos. Recientemente, han emergido nuevas técnicas en lo que se denomina Quishing.
Un equipo de investigadores de seguridad de Barracuda Networks divulgó un informe técnico sobre su hallazgo el 20 de agosto. En este documento, describían el funcionamiento de dos nuevas tácticas de Phishing que emplean códigos QR, las cuales consisten en dividir códigos QR en dos partes o incrustarlos en códigos legítimos.
Nuevas técnicas de ataque con QR
Los investigadores de Barracuda Networks detectaron que los operadores de Gabagool, un kit de Phishing de tipo Phaas (Phishing as a service), estaban utilizando un enfoque innovador para evadir la detección. Esta técnica implica dividir un código QR. En un correo electrónico, se presentan dos imágenes separadas que están integradas en el mismo. Las soluciones de seguridad, al analizarlo, interpretan que hay dos imágenes inofensivas en lugar de un código QR completo.
No obstante, para el receptor del correo, el código QR aparece en su totalidad. Al escanearlo, la víctima es redirigida a una página falsa diseñada para el ataque, donde pueden solicitar iniciar sesión con sus credenciales y robarlas. Si analizamos la imagen en HTML, realmente se muestra como dos imágenes distintas, lo que les permite eludir la protección.
Esta táctica ha sido utilizada en campañas enfocadas en el robo de credenciales de inicio de sesión de cuentas de Microsoft. Aplicaron una estafa relacionada con el restablecimiento de contraseña, aprovechando información previamente obtenida de la víctima, lo que hacía que los mensajes fueran más personalizados.
Otra técnica identificada es conocida como anidación de códigos QR. En este caso, los operadores de otro Phaas, Tycoon, implementaron un método diferente para eludir las medidas de seguridad, que consiste en incrustar un código QR malicioso dentro o alrededor de uno legítimo.
Desde Barracuda Networks, observaron un caso en el que un código QR externo redirigía a una web maliciosa, mientras que el QR interno apuntaba a Google. Cuando los escáneres de seguridad analizan estos códigos, pueden interpretar que llevan a una página confiable, como Google, pero en realidad hay un QR malicioso incrustado al que accederá la víctima.
Cómo protegerte
La seguridad debe basarse en el sentido común. Ten cuidado con cualquier imagen adjunta en correos electrónicos. Siempre mantente alerta, revisa detenidamente los códigos QR que recibas por estos medios y evita iniciar sesión a través de ellos, ingresar información personal o descargar aplicaciones, ya que podrían ser un fraude.
Es esencial que protejas adecuadamente tus cuentas. Aparte de utilizar una contraseña robusta, es recomendable activar la autenticación en dos pasos. Esta proporciona una capa adicional de seguridad, evitando que un intruso acceda a tus cuentas, incluso si logra robar tu contraseña. Necesitarían un segundo paso, que puede ser un código a través de una aplicación de 2FA o por SMS.
Asimismo, es crucial mantener tu dispositivo actualizado y contar con programas de seguridad. Esto te ayudará a protegerte de ataques que exploten vulnerabilidades en el sistema, así como de malware que pueda afectar su funcionamiento.
Más allá de las medidas digitales, es vital aprender a identificar visualmente un posible fraude. Presta atención a las siguientes señales:
- Superposición física: Desconfía de códigos QR que sean etiquetas colocadas sobre un cartel o menú original. Los atacantes frecuentemente superponen sus códigos maliciosos en espacios públicos.
- Calidad de impresión deficiente: Un código QR borroso, pixelado o con colores inusuales puede ser indicativo de manipulación. Las empresas legítimas suelen utilizar imágenes de alta resolución.
- Contexto sospechoso: ¿Recibiste un QR por un correo electrónico no solicitado que te insta a actuar? ¿Se encuentra en un lugar público sin justificación? La urgencia y la falta de contexto son tácticas comunes de Phishing.
En conclusión, se están utilizando nuevas técnicas en campañas maliciosas de códigos QR que logran evadir las medidas de seguridad. INCIBE, el Instituto Nacional de Ciberseguridad, considera que los ataques con QR representan un grave problema. Entre otras recomendaciones, sugieren informar sobre cualquier intento de fraude a través de su Línea de Ayuda en Ciberseguridad (017).
Preguntas frecuentes
¿Qué ocurre si soy víctima de un QR falso?
Podrían robar tus datos personales, contraseñas o introducir malware que infecte tu dispositivo.
¿Dónde puedo encontrar códigos QR falsos?
Pueden llegar a través de redes sociales, WhatsApp, correos electrónicos o al navegar por páginas web. También pueden aparecer físicamente, como en un restaurante donde han colocado una etiqueta falsa.
¿Mi antivirus me protege de códigos QR maliciosos?
Los antivirus pueden ayudar a detectar virus, pero no siempre son efectivos al acceder a páginas fraudulentas. La clave está en el sentido común.
