Roban información personal con códigos QR: ¿Hola, quieres un descuento?

Un código QR es una imagen escaneable que almacena datos y es una de las más populares en los restaurantes o comercios para revisar un menú o precios de servicios, así que como es tan necesario, muchos hackers han logrado involucrarse y robar nuestros datos.

Ahora, los ciberdelincuentes están añadiendo virus a estos códigos con una práctica conocida como quishing con mensajes como: “¿Hola, quieres un descuento?”. Una estafa clara.

Con ese mensaje que acompaña el QR malicioso enviado por correo electrónico, las personas caen fácilmente por su afán de ahorrar dinero y caen fácilmente.

El QR malicioso utiliza HTML (lenguaje de marcado de hipertexto) y caracteres ASCII (código estándar americano para intercambio de información) para redirigir a sitios web fraudulentos, alerta Check Point Software.

La misma compañía de ciberseguridad alertó que los ataques de quishing aumentaron en un 587 por ciento entre agosto y septiembre de 2023.

Qué es quishing, la estafa con códigos QR

Quishing es una técnica de phishing que utiliza códigos QR para engañar a las personas y dirigirlas a sitios web maliciosos o recopilar información personal.

Cabe recordar que el phishing es una técnica de ciberdelincuencia que implica enviar mensajes fraudulentos para engañar a las personas y obtener información personal, como contraseñas y datos bancarios.

Algunos casos de quishing pueden ser:

- Falsos códigos QR de promociones que solicitan información personal.

- Códigos QR falsificados en restaurantes que redirigen a sitios fraudulentos. Dichos establecimientos públicos suelen presentar su menú o medios de pago a través de QR.

- Códigos QR en correos electrónicos que llevan a formularios falsos para robo de credenciales.

Cómo comprobar la autenticidad de un código QR

- Verificar la fuente del código QR.

- Utilizar aplicaciones de escaneo seguras que previsualicen la URL.

- No escanear códigos QR en correos electrónicos o mensajes no solicitados.

- Comprobar que el sitio web al que dirige utiliza HTTPS.

- Evitar escanear códigos QR en lugares públicos desconocidos.

Qué es HTTPS

HTTPS (Hypertext Transfer Protocol Secure) es un protocolo de comunicación en internet que asegura la transferencia de datos entre el navegador y el servidor mediante encriptación, garantizando la confidencialidad e integridad de la información.

Para saber si una página utiliza HTTPS, hay que verificar si la URL comienza con “https://” y buscar un ícono de candado en la barra de direcciones del navegador.

Cuáles son los casos de phishing más comunes

1. Correos electrónicos de suplantación de identidad: Los ciberdelincuentes envían correos que aparentan ser de entidades legítimas, como bancos o proveedores de servicios, solicitando información personal o financiera.

2. Phishing en redes sociales: Mensajes directos o publicaciones que contienen enlaces maliciosos y buscan recopilar datos personales de los usuarios.

3. Mensajes de texto o SMS (smishing): Mensajes que contienen enlaces peligrosos o instan al receptor a llamar a un número de teléfono que solicita información confidencial.

4. Llamadas telefónicas fraudulentas (vishing): Los delincuentes se hacen pasar por representantes de empresas, autoridades o servicios técnicos, pidiendo datos sensibles.

5. Páginas web falsas: Sitios que imitan a páginas legítimas invitando al usuario a ingresar credenciales, números de tarjetas de crédito o información personal.

6. Phishing en aplicaciones móviles: Aplicaciones aparentemente seguras que al descargarse solicitan permisos indebidos para acceder a datos personales y financieros. Por ejemplo, que una aplicación de linterna solicite permiso para usar micrófono.

7. Ataques mediante publicidad engañosa (malvertising): Anuncios en línea que redirigen a sitios web fraudulentos para robar información.

Cincos consejos para identificar posibles mensajes de phishing

1. Revisar la dirección del remitente: Verificar si el correo proviene de una fuente desconocida o sospechosa.

2. Buscar errores gramaticales y ortográficos: Los mensajes de phishing a menudo contienen errores de escritura.

3. Desconfiar de enlaces y archivos adjuntos: No hacer clic en enlaces ni descargar archivos de correos inesperados.

4. Observar el contenido del mensaje: Mensajes que solicitan información personal o financiera urgente suelen ser fraudulentos.

5. Verificar la autenticidad: Contactar directamente a la organización o persona que supuestamente envió el mensaje para confirmar su legitimidad.