Qrishing: el phishing a través de códigos QR

0
codigo-qr-ciberseguridad-ciberdelincuencia-h50
- Publicidad -
depol-academia-policia-h50
Comparte ese artículo
sergio-daniel-huaman-farro-unir-h50

Hablar del código de barras no resulta extraño si somos parte de alguna generación anterior a los años 80, quizá lo primero que se nos vendría a la mente sería términos como el almacenaje, mercaderías o la compra de productos en el supermercado; pero este discernimiento posiblemente no sea el mismo si nos referimos al código QR como la evolución natural de las barras.

De hecho, hasta antes del inicio del virus del Covid-19 esta herramienta era desconocida por el común denominador de los comerciantes y en la actualidad la gran mayoría de ellos se ha visto en la necesidad de implementarlos en sus negocios pues les permite realizar operaciones cómo cobros, compras, ver características de productos e incluso para acceder a aplicaciones como WhatsApp, redes sociales o simplemente para acceder a la carta de menús en restaurantes.

Las siglas QR provienen de Quick Response (Respuesta rápida) y aunque su forma cuadrada cargada de puntos negros se asemeja mucho a un pictograma no es nada más que un enlace web que nos lleva a un determinado contenido en internet y pueden ser leídos por nuestros teléfonos móviles o ‘Smartphones’ haciendo uso de una aplicación para lectura de QR, tan solo basta con enfocar el código con la cámara del celular para escanear y acceder a la información.

Si bien resulta evidente el beneficio de estos códigos, debemos aclarar que como en todo avance tecnológico no existe una perfección en términos de seguridad. De hecho la tendencia de esta herramienta ha generado que inescrupulosos la aprovechen para usarla en favor de sus actividades criminales.

QRishing: ¿Qué es?

Los ataques phishing son una técnica muy usada por la ciberdelincuencia para la pesca de contraseñas, sabemos que no debemos acceder a enlaces desconocidos que nos llegan a través de mensajes de texto o correo electrónico, pero no somos conscientes que al usar nuestra aplicación para escáner vectores QR también corremos el riesgo de ser dirigidos a sitios con contenido malicioso o que nos induzca a descargar alguna aplicación móvil que termine por instalar un malware (virus) en nuestro equipo. Así surge el denominado ‘Qrishing’ y sus consecuencias pueden ser tan nocivas como el ser víctimas de espionaje a través de la cámara de nuestro móvil, que acedan a nuestras credenciales y claves a través de un troyano bancario o sufrir una suplantación de identidad.

El código QR  ha extendido su utilidad y es común encontrarlo también en documentos como certificados médicos, pasaportes, tickets de transporte o entradas para eventos, y durante la pandemia este método se popularizó porque evita el pago sin contacto. Actualmente, encontramos estos códigos en pegatinas de mesas de bares, restaurantes, cajas registradoras de tiendas, vallas publicitarias y estaciones de buses; sin embargo esta situación ha propiciado un nuevo vector de ataque para los malechores quienes soportados en la ingeniería social, ofrecen artículos gratuitos, descuentos y promociones que seducen a los usuarios a escanear falsos códigos para que accedan a sitios web fraudulentos o instalen programas malintencionados.

Fraudes QR en Texas y Ucrania

En diciembre del año pasado en los Estados Unidos, la policía de San Antonio alertó a los ciudadanos sobre calcomanías con códigos QR falsos ubicados en parquímetros públicos de Texas que hacían pensar a los conductores que podían pagar el estacionamiento a través de una web.

Por otro lado, aprovechando el estado de guerra entre Rusia y Ucrania apareció una página web que solicitaba donaciones para una familia ucraniana en la Darknet que aparentemente intentaba escapar de su país debido a las malas condiciones en la que se encontraba. El pedido lo hacían en criptomonedas adjuntando códigos QR de monederos electrónicos.

Factores víctimológicos

Si nos preguntamos por qué caemos en este tipo de ciberdelito, las respuestas pueden ser múltiples. En un estudio publicado por International IJACSA (Journal of Advanced Computer Science and Applications) dos científicos de la Universidad de Brawijaya en Indonesia utilizaron un cartel promocional falso que ofrecía una memoria USB gratis como recompensa por escanear un código QR y llenar una encuesta. Los resultados  demostrarían la existencia de factores de riesgo del Qrishing; por ejemplo, mencionan que el código QR al ser una herramienta fácil de utilizar y que carece de mayor control condiciona el comportamiento de la persona; también se cita la percepción de seguridad por tratarse de un avance tecnológico. El factor tiempo también fue tomado en cuenta considerando el QR como herramienta rápida de transacción comercial; incluso existe un ámbito de riesgo social que apela a la perdida de estatus de ciertos grupos por no adoptar esta tecnología.

Fuente: International IJACSA

Cómo protegerse del Qrishing

Estos consejos nos pueden ayudar a evitar ser víctimas de fraude haciendo uso de los QR:

  • Deshabilitar la opción de abrir URL automáticamente de nuestra aplicación lectora de códigos QR.
  • Verificar los enlaces de dudosa procedencia mostrados al escanear un código QR.
  • Si el código QR nos envía a una página que nos requiere credenciales y datos bancarios, es necesario ser prudentes y procurar contrastar la autenticidad del sitio.
  • Si ubicamos algún código QR físico en el interior de un establecimiento, antes de usarlo debemos asegurarnos que no haya sido manipulado dado que los delincuentes estilan colocar pegatinas encima con un código fraudulento.
  • Si somos dueños de un negocio debemos monitorear periódicamente los códigos QR físicos para comprobar que no han sido alterados.
  • Si realizamos una compra en algún comercio debemos comprobar que la transacción se realizó correctamente.
  • Brindar la menor cantidad de datos y usar tarjetas exclusivas con poco dinero para comprar online o realizar pagos mediante QR.

Sanciones penales

Es importante mencionar que el artículo 248.2 del código penal español sanciona la estafa informática al sindicar cómo reos de estafa a aquellos que: “con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”; asimismo a aquellos que “fabricaren, introdujeren poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas”.

Sergio Daniel Huamán Farro
Investigador e Instructor en ciberdelitos y nuevas tecnologías | Graduado en Derecho y Ciencias Políticas, Profesional de las Ciencias de la Computación

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí