Supongamos que recibe un correo electrónico o un mensaje instantáneo en el que se le informa de que se han realizado algunos pagos en su cuenta y está a punto de escanear un código QR adjunto. En apenas una fracción de segundo, esa acción podría exponer su cuenta bancaria, sus contraseñas y sus datos personales si se tratase de un código QR malicioso.
Quishing es un ciberataque de rápido crecimiento que intenta robar información confidencial de los usuarios mediante códigos QR falsos. Este ataque estratégico se dirige principalmente a directores y ejecutivos de empresas. un informe de 2024 de Abnormal Security Corp.Los ejecutivos de alto nivel reciben ataques de phishing con códigos QR 42 veces más que los empleados promedio. La vulneración de correo electrónico empresarial (BEC), un método popular de ciberataque que utiliza correos electrónicos falsos, aumentó un enorme 108 % entre 2022 y 2023.
Con el Uso creciente de códigos QR en la vida cotidianaEl phishing es cada vez más frecuente. Por lo tanto, todos los usuarios de códigos QR deben conocer las actividades o prácticas maliciosas asociadas con los códigos QR y las acciones preventivas contra el phishing de códigos QR.
Significado de quishing o phishing de código QR
El “quishing” o phishing de códigos QR es un intento bien planificado de engañar a los usuarios de códigos QR para que visiten enlaces y sitios web maliciosos. Al escanear y hacer clic en un código QR malicioso, los usuarios son llevados a un sitio de phishing que pone en peligro su información confidencial.
El quishing suele eludir los sistemas de seguridad convencionales, como las pasarelas de seguridad de correo electrónico, ya que los sistemas perciben los códigos QR adjuntos a un correo electrónico como imágenes inofensivas. Como resultado, muchos usuarios de códigos QR se convierten en víctimas de phishing por correo electrónico.
¿Cómo funciona el quishing?
El quishing funciona cuando los usuarios hacen clic, intencional o involuntariamente, en un enlace fraudulento que aparece al escanear un código QR malicioso. Los ataques de phishing tienen como objetivo principal robar información personal y financiera, como datos de tarjetas de débito o crédito, credenciales de inicio de sesión o información de identificación personal.
Los estafadores utilizan la información confidencial de los usuarios para cometer fraudes financieros, robo de identidad, acceso no autorizado a cuentas o ransomware. A menudo, utilizan códigos QR maliciosos a través de folletos y carteles impresos, correo electrónico y plataformas de redes sociales.
Al escanear el código QR, los usuarios son redirigidos a un sitio web o enlace falso. A menudo, se les solicita a las víctimas que ingresen información confidencial, como nombres de usuario, correos electrónicos, fecha de nacimiento, datos bancarios y contraseñas de inicio de sesión de la cuenta.
????Aprenda más: Seguridad del código QR
Estadísticas clave sobre phishing de códigos QR que conviene tener en cuenta
- La pestaña Aumento rápido del uso de teléfonos inteligentes para escanear códigos QR es una razón crucial detrás de la creciente tasa de quishing. Statista dijo Casi 89 millones de estadounidenses escanearon un código QR usando sus teléfonos inteligentes en 2022. La cifra podría alcanzar los 100 millones de usuarios en 2025.
- En China, hasta Se utilizaron 10 mil millones de dispositivos móviles para pagos con códigos QR en el 2022.
- Según un informe, el número total de Los usuarios de teléfonos inteligentes a nivel mundial superaron los 4.88 millones en 2024, que representa el 60.42% de la población mundial.
El phishing mediante códigos QR también ha aumentado significativamenteVeamos algunos datos:
- Según un informe de Check Point Software Technologies, Estafas de phishing con códigos QR en UPI en India aumentó más del doble, pasando de 15,000 casos en 2022 a más de 30,000 casos en 2023.
- Cada día se envían más de 3 mil millones de correos electrónicos de phishing, lo que genera más posibilidades de que los usuarios de códigos QR caigan en el quishing.
- Gmail bloquea más de 100 millones de intentos de phishing cada día.
- Según explicó Pymnts, los códigos QR representaron más de 20% de todas las estafas en línea.
- Según IBMEl costo promedio global de una violación de datos en 2024 sería de USD 4.88 millones, un aumento del 10 % respecto del año pasado y el total más alto de la historia.
- Según el Encuesta sobre violaciones de seguridad cibernética 2024 Según GOV.UK, el phishing sigue siendo el tipo más común de violación de seguridad cibernética y ataques, dirigidos al 84% de las empresas y al 83% de las organizaciones benéficas en el Reino Unido.
¿Cómo nos protegemos de los ataques de phishing de códigos QR?
Aquí encontrará información clave sobre cómo proteger su información personal y evitar el phishing de códigos QR.
✅ Nunca acepte códigos QR no solicitados: Evite escanear el código QR adjunto a correos electrónicos o publicaciones en redes sociales cuando no conozca al remitente. No escanee códigos QR al azar en lugares públicos. Tenga cuidado con los códigos QR que se comparten a través de correos electrónicos o redes sociales, especialmente si no los solicitó.
✅ Verifique la fuente antes de escanear: Confirme la autenticidad del código QR antes de escanearlo, incluso si cree que conoce la fuente. Puede verificar el nombre del remitente buscando en Internet o comunicándose directamente con la empresa antes de escanearlo.
✅ Vuelva a verificar la URL del código QR: Espere un momento antes de hacer clic en la URL que aparece después de escanear el código QR. Vuelva a verificar la URL del código QR para ver si coincide con la empresa que conoce o el sitio web que espera visitar. No haga clic en URL sospechosas.
✅ Detectar señales de phishing: Compara el código QR que recibes en los correos electrónicos con el que tienes guardado en tu cuenta de Google Wallet o UPI. Podrás ver las diferencias, como errores gráficos y discrepancias en las direcciones de correo electrónico. Evita escanear el código QR que crea una sensación de urgencia para tomar una acción o un mensaje con mala gramática.
✅ Tenga en cuenta la información proporcionada en línea: No acepte correos electrónicos ni mensajes de texto de remitentes desconocidos que le soliciten información personal y financiera. Debe estar 100 % seguro de que es seguro escanear el código QR antes de proporcionar información confidencial, como número de contacto, fecha de nacimiento, credenciales de inicio de sesión, detalles de la tarjeta de crédito, etc.
Las empresas pueden tomar algunas medidas adicionales para evitar el sigilo, como las siguientes:
☑️ Implementación de autenticación de dos factores: El phishing por correo electrónico es la amenaza empresarial más común. El uso de la autenticación de dos factores o autenticación de múltiples factores evitará que los atacantes de compromiso de correo electrónico empresarial (BEC) pirateen los correos electrónicos comerciales.
☑️ Actualice el software y las funciones de seguridad: Actualice su software a la última versión y mantenga funciones de seguridad avanzadas que puedan ayudarle a prevenir ataques de phishing.
☑️ Capacitación sobre concientización sobre seguridad para empleados: Concientizar a los empleados sobre la seguridad cibernética y capacitarlos sobre la seguridad de los códigos QR puede ayudar a las empresas a evitar los peligros del quishing. Mediante la capacitación, los empleados pueden aprender a detectar intentos de BEC e implementar prácticas como confirmar la fuente de los códigos QR o las solicitudes de pago.
¿Qué pasa si una organización ya es víctima de quishing?
Supongamos que su organización ya es víctima de un ataque de phishing mediante códigos QR. Debe adoptar las siguientes medidas para detener la propagación de la estafa o, al menos, reducir los daños. A continuación, le indicamos cómo debe hacerlo.
➡️ Eliminar el código QR inmediatamente: Elimine o reemplace inmediatamente el código QR malicioso de sus espacios físicos y digitales existentes, incluidos carteles impresos, menús, redes sociales y sitios web. Esto ayudará a evitar que el ataque de phishing siga escalando.
➡️ Avisar urgentemente a los clientes y al personal: Alerte a los clientes, socios comerciales y personal sobre el ataque de phishing y explique la situación con claridad. Establezca una comunicación adecuada brindando instrucciones claras sobre cómo manejar la situación. La comunicación oportuna puede salvar a los clientes de pérdidas financieras y robo de datos personales, lo que evita que las empresas tengan una mala imagen de marca o reputación.
➡️ Identificar la fuente de los códigos QR fraudulentos: Realice una evaluación exhaustiva de la fuente del código QR y su destino. Investigue el motivo del robo de identidad identificando si los usuarios son llevados a un sitio de phishing o descargan contenido malicioso. La intervención y la investigación oportunas pueden proteger a los clientes y a las organizaciones de daños mayores.
➡️ Reportar el incidente al equipo de seguridad: Informe el ataque de phishing de inmediato a las autoridades pertinentes. Por ejemplo, si su organización cuenta con un equipo de seguridad independiente, informe del incidente al equipo tan pronto como detecte o se dé cuenta de que se ha producido un ataque de phishing. Las organizaciones pueden presentar una denuncia ante una célula local de delitos cibernéticos. Las autoridades pueden tomar las medidas adecuadas para evitar que otras organizaciones se enfrenten al mismo incidente.
➡️ Comunicar la resolución del problema: Informe a sus clientes, personal y otras partes interesadas de la empresa tan pronto como su organización resuelva los problemas. Puede mantenerlos informados sobre las medidas que ha tomado para manejar la situación. Es fundamental recuperar la confianza de los clientes y asegurarles que su organización los respalda.
Conclusión
Hoy en día, los códigos QR están en todas partes, y con ellos también el riesgo de que se produzcan quishing. Los usuarios de códigos QR deben tener cuidado al utilizarlos, especialmente al escanear un código QR adjunto a un correo electrónico, un mensaje de texto o una publicación en las redes sociales de fuentes desconocidas.
Las empresas deben ser conscientes de la amenaza potencial que suponen los códigos QR cuando se utilizan para ataques de phishing. Si toman las medidas adecuadas, podrán protegerse de este tipo de ataques.
Preguntas frecuentes
¿Puede un código QR ser un riesgo de seguridad?
Sí. Un código QR puede dirigirlo a un sitio web malicioso, iniciar una descarga fraudulenta o incluso desencadenar una acción que comprometa la seguridad de su dispositivo.
¿Cuál es un ejemplo de quishing?
Un ejemplo de quishing es cuando una persona recibe un correo electrónico en el que se le informa de que ha ganado un billete de vacaciones gratis a Dubái o un iPhone y se le pide que escanee el código QR adjunto para reclamarlo. Los estafadores utilizan información persuasiva para engañar a los usuarios y hacer que visiten sitios web o enlaces maliciosos.
¿Cuáles son los signos de un código QR de phishing?
Las señales de un código QR de phishing no siempre son obvias de inmediato. Sin embargo, debe estar atento a estas señales:
- Manipulación física:Si nota una etiqueta con un código QR colocada sobre una ya existente, podría ser una señal de Falsificación de códigos QR.
- Colocación sospechosa:Los códigos QR en ubicaciones inusuales, como dentro de baños o lugares públicos al azar, podrían ser sospechosos.
- Redirecciones inesperadas:Después del escaneo, si se le redirige a un sitio web desconocido o se le solicita que ingrese información confidencial, es probable que se trate de un intento de phishing.
¿Qué debo hacer si escaneo accidentalmente un código QR de phishing?
Si escaneaste accidentalmente un código QR malicioso, sigue estos pasos de inmediato:
- Evite proporcionar información personal:Después de escanear el código QR, cierre el navegador inmediatamente si le solicita información personal o detalles de pago.
- Limpia el historial de tu navegador:Esto eliminará cualquier dato malicioso almacenado en el caché de su navegador.
- Ejecutar un análisis de virus:Escanee instantáneamente su dispositivo con un antivirus para neutralizar las amenazas potenciales.
- Cambie sus contraseñas:Si ha ingresado alguna información, cambie sus contraseñas inmediatamente, particularmente las de aquellas cuentas que puedan haber sido comprometidas.
También te puede gustar
Simplificando el acceso a documentos en el sector inmobiliario con códigos QR
Descubra cómo los códigos QR simplifican el acceso a los documentos inmobiliarios. Comparta folletos, declaraciones y documentos de cierre de forma segura con códigos QR dinámicos y rastreables.
Cómo construir conexiones significativas en conferencias
Construye conexiones significativas en conferencias con estos consejos prácticos para establecer contactos. Aprende a iniciar conversaciones auténticas, dar seguimiento y cultivar relaciones profesionales.
¿Cómo hacer un código QR para un enlace?
Descubra cómo crear un código QR para un enlace como el de su sitio web, redes sociales o YouTube. Los códigos QR mejorarán el tráfico y la interacción en sus plataformas digitales.
Cómo escribir frases de llamada a la acción con códigos QR de alta conversión (más de 50 ejemplos)
Aprenda las fórmulas de CTA, los consejos de diseño y más de 60 ejemplos que aumentan los escaneos y las conversiones de códigos QR, además de cómo probarlos y medirlos usando QRCodeChimp tools.
Más Popular
Contactar Ventas
