Así es como los estafadores utilizan códigos QR para robarte los datos
No todos los códigos QR son inofensivos. Esto es lo que debes hacer para no caer en el timo del quishing.
6 min de lectura
Los códigos QR han pasado de ser una novedad tecnológica a convertirse en el pan de cada día; aparecen por todas partes, desde en facturas hasta en tarjetas de visita. Y, como nos hemos acostumbrado a escanearlos sin pensarlo dos veces, los ciberdelincuentes han encontrado la forma de aprovecharse de nuestra confianza. Ahí es donde entra en juego el quishing: un retorcido método de phishing que utiliza códigos QR aparentemente inofensivos para hacerse con tus datos personales.
El quishing está en pleno auge
Los códigos QR (quick response) fueron inventados por un fabricante de automóviles japonés en 1994 para agilizar la producción. A día de hoy, estos cuadraditos contienen todo tipo de datos, como enlaces, información sobre productos o datos de contacto. Su atractivo reside en su simplicidad. En lugar de introducir una larga dirección web, escaneas el código y tu teléfono te lleva al sitio o contenido en cuestión al instante. Esta comodidad nos vino muy bien durante la pandemia, cuando las empresas necesitaban un método sin contacto para proseguir sus actividades sin poner en riesgo la salud de sus clientes.Actualmente, los códigos QR se han integrado perfectamente en nuestra rutina diaria: los vemos en los envases de productos y hasta en las paredes de los aseos públicos. ¿Necesitas el manual de usuario de tu nuevo gadget? Escanea el código. ¿Quieres pagar la cuenta? Aquí tienes el código QR. Como se han hecho tan comunes, les tenemos una confianza ciega. Pero precisamente esa confianza es lo que los ciberdelincuentes explotan. Tomemos como ejemplo el famoso anuncio de Coinbase de la Super Bowl de 2022: un código QR que hizo que millones de telespectadores escanearan y descargaran su app. Fue astuto y eficaz, pero también suscitó serias preocupaciones entre los expertos en ciberseguridad. Sus posibles riesgos se hicieron todavía más evidentes cuando los estafadores empezaron a utilizar códigos QR en timos relacionados con las criptomonedas, logrando que las víctimas les entregaran su dinero.
Cómo se lleva a cabo un ataque de quishing
En un ataque de quishing, los estafadores generan un código QR malicioso que dirige a los incautos a un sitio web peligroso. Estos códigos QR pueden integrarse en correos electrónicos muy bien elaborados, en las redes sociales, en folletos de publicidad o incluso en objetos físicos del mundo real. ¿Cómo consiguen que piques? Con una pizca de ingeniería social. Imagina que te llega un correo que dice que has ganado un premio en metálico o que tienes que escuchar un importante mensaje de voz. Para conseguir el premio o escuchar el mensaje, solo tienes que escanear el código QR. Sin embargo, en cuanto lo escaneas, te dirige a un sitio web malicioso que te pide datos personales sensibles, como tu nombre, correo electrónico, fecha de nacimiento o datos bancarios. Estos sitios falsos están diseñados para parecer auténticos, pero su única finalidad es robar tus datos para suplantar tu identidad, llevar a cabo un fraude financiero o algo peor. La Comisión Federal de Comercio de Estados Unidos ha detectado casos en los que los estafadores colocan sus propios códigos QR en parquímetros o en los que un mensaje de texto pide a las víctimas potenciales que escaneen un código QR para solucionar problemas con su cuenta o responder a una «actividad sospechosa». ¿Cuál es el denominador común? Una sensación de urgencia que hace que las víctimas actúen sin pensar.
La seguridad en N26
En N26, la seguridad es nuestra prioridad. Descubre una experiencia de banca 100% móvil.
Los delincuentes están apostando por el quishing debido a nuestra preferencia por el teléfono móvil. La mayoría de ordenadores poseen sistemas de protección contra el phishing que dificultan la labor de los estafadores. Sin embargo, los móviles les ofrecen una oportunidad de oro. Los dispositivos móviles suelen estar menos protegidos y los ataques con códigos QR pueden colarse entre los sistemas de seguridad tradicionales, como las pasarelas seguras para el correo electrónico. De hecho, muchos sistemas de seguridad consideran que los códigos QR son imágenes inofensivas y no analizan las amenazas ocultas.Como la gente se ha acostumbrado a escanear códigos QR sin pensárselo dos veces, no se da cuenta de que el código que acaba de escanear le dirige a un sitio web malicioso o instala malware en su dispositivo. ¿El resultado? Los ciberdelincuentes pueden robarte los datos personales, los datos de acceso a tu cuenta bancaria o algo peor. Todo ello sucede desde la aparente inocencia de un código QR.
Por qué es tan difícil defenderse del quishing
El quishing es un auténtico quebradero de cabeza debido a que salta de un dispositivo a otro, por lo que es difícil de interceptar. Por ejemplo, recibes un correo en tu ordenador de trabajo con un código QR, pero lo escaneas con el móvil. Si el móvil es tu dispositivo personal, probablemente no está cubierto por las políticas de seguridad de tu empresa, de manera que los atacantes pueden acceder a tu dispositivo fácilmente. Por otro lado, si un código QR malicioso te llega al correo personal, pero lo escaneas con un dispositivo de trabajo, el malware puede sortear las defensas de tu empresa. Esta complejidad genera ángulos muertos que dificultan la capacidad de las empresas para detectar y bloquear estos ataques sigilosos.
Cómo protegerte del quishing
La manera más fácil de protegerte del quishing es abstenerte de escanear códigos QR sin ton ni son, sobre todo los de origen desconocido. Si algo te parece sospechoso, como un código QR en un lugar inusual, párate a inspeccionar la URL para ver si la ortografía es correcta o hay letras intercambiadas. En caso de duda, no lo escanees y verifica la información llamando a un número de confianza o visitando el sitio oficial de la empresa. La mayoría de empresas auténticas no utilizan códigos QR para verificar cuentas. Si quieres protegerte todavía más, activa la autenticación multifactor y sospecha de las notificaciones de autenticación: apruébalas únicamente si eres tú quien ha iniciado el acceso. Por último, mantén tu móvil actualizado y utiliza contraseñas seguras y únicas con autenticación multifactor para adelantarte a los estafadores.
Tu dinero en N26
En N26, tu seguridad es nuestra prioridad. Tu cuenta de N26 incluye funciones de seguridad como 3D Secure y la autenticación biométrica para que tú y tu dinero estéis siempre protegidos. Además, en nuestro blog siempre encontrarás artículos de actualidad sobre los últimos fraudes online y cómo protegerte de ellos. Aprende a proteger tu identidad digital y crear contraseñas seguras, utilizar la banca móvil con seguridad y muchas cosas más.
La inteligencia artificial está transformando la banca, mejorando la detección de fraudes, el cálculo del riesgo y el servicio al cliente. Xavier Lavayssière analiza impactos y desafíos de la IA.
La inteligencia artificial está transformando la banca, mejorando la detección de fraudes, el cálculo del riesgo y el servicio al cliente. Xavier Lavayssière analiza impactos y desafíos de la IA.
