En temas de ciberseguridad, hay muchos tipos de intentos de engaños o estafas. Por ejemplo, el phishing y el vishing son algunos de los más habituales. También hay otros algo más desconocidos a los que también tenemos que estar atentos. Uno de ellos es el qrishing, que se esconde detrás de los códigos QR que ya están en todas partes.
Se ha normalizado usar estas herramientas, sobre todo después de la pandemia, Y es que son una solución buenísima para mantener actualizada la carta de un restaurante, por ejemplo, pero también para tener siempre los datos a mano de una tarjeta de visita y acceder a un concierto o una obra de teatro.
Sin embargo, al igual que sucede con una aplicación que se quiera descargar o un archivo adjunto que se haya recibido por correo electrónico, siempre hay que estar seguro de su procedencia antes de iniciar una interacción con él.
¿Qué es el qrishing?
El qrishing es una técnica que se ayuda de los códigos QR para hacer ataques de phishing. Es decir, tras escanear un código QR falso, se accede a un enlace malicioso, que puede contener suplantación de identidad, una descarga no deseada o algún tipo de espía que controle nuestros movimientos online, entre otros.
Puede parecer algo bastante nuevo, teniendo en cuenta que apenas hace unos años que estos códigos ya forman parte de la vida diaria de las personas. Pero nada más lejos de la realidad. Y es que estos códigos nacieron en 1994 y desde entonces han podido ser objeto de esta vulnerabilidad. Como curiosidad, su creación fue obra de dos empleados de Denso Wave, una filial de Toyota.
Tipos de códigos QR
Hay dos tipos de códigos QR: estáticos y dinámicos. Los más peligrosos son los segundos. Mientras que en los estáticos la información que se vincula a ellos no se puede modificar, en los dinámicos existe la posibilidad de editar el contenido. Y aquí es cuando los ciberdelincuentes pueden campar a sus anchas si no se ha blindado bien la seguridad de dicho código.
Consejos del INCIBE para protegerse del qrishing
El Instituto Nacional de Ciberseguridad de España (INCIBE) ha hecho una serie de recomendaciones para evitar ser víctima de esta vulnerabilidad. Aunque es un ataque que puede parecer más sofisticado que otros, lo cierto es que es mucho más sencillo de ejecutar de lo que puede parecer en un primer momento. Por eso es importante estar alerta y tratar de protegerse bien.
Hay que tener muy claro que el peligro no es escanear un código QR, para nada. El riesgo se oculta tras él, con el enlace al que accedemos o con el ejecutable que descarga. Por eso, lo primero que hay que hacer es fijarse bien en la dirección a la que se va a acceder o en lo que se va a descargar en el dispositivo, por lo general, un teléfono móvil. Por eso, no hay que escanear códigos QR que se pueden encontrar en la calle de manera aleatoria. Si el usuario está, por ejemplo, en un restaurante y debe escanear la carta, al pinchar sobre el QR es interesante revisar cuál es la URL a la que se está accediendo. El propio restaurante ha podido ser víctima de un ataque, como ya se ha mencionado que puede ocurrir con los QR dinámicos.
Si lo que hace este código es descargar una aplicación, hay que estar bien seguro de su contenido (que no nos suscriba a servicios premium, que no infecte el dispositivo con malware…). Por eso, hay que descargar solo aplicaciones y programas de fuentes conocidas.
Qué hacer si ya se ha sido víctima de este ataque
Aunque lo mejor en temas de ciberseguridad siempre será prevenir, hay veces en las que ya es necesario curar. Para poner la ‘tirita’, en este caso, lo primero que hay que hacer es tratar de eliminar aquello que ha podido infectar el dispositivo, si se ha instalado algún tipo de malware en el equipo. También es recomendable que se formatee, para evitar posibles rastros que hayan podido quedar.
Por el contrario, si se ha sido víctima de algún tipo de suplantación de identidad que ha hecho que se den datos personales, como contraseñas y tarjetas de crédito, hay que cambiar de inmediato la contraseña que se haya podido vulnerar o avisar al banco para evitar movimientos indeseados. Incluso aunque el ataque no suceda hoy, hay ciberdelincuentes que guardan estos datos para venderlos en un futuro y puede que el disgusto llegue mucho más tarde, cuando ya se ha bajado la guardia y ni siquiera se recuerda lo que sucedió con ese código QR que parecía inofensivo, pero en realidad no lo era.
Por Noelia Hontoria
Imágenes | Imagen de Tumisu en Pixabay | Imagen de Roman en Pixabay | Imagen de Wilfried Pohnke en Pixabay
