Quishing: qué es, por qué sucede y cómo nos podemos proteger

Ya nadie puede negar que el uso de códigos QR ha pasado a formar parte integral de nuestra vida cotidiana. Desde menús descargables en restaurantes hasta pagos digitales, estos códigos parecen estar en todas partes para simplificarnos un poco la vida. Pero como pasa usualmente con estos avances tecnológicos, los códigos QR han pasado a captar rápidamente la atención de ciberdelincuentes que buscan aprovecharse de los usuarios desprevenidos.

El quishing, que es un juego de palabras entre phishing y código QR, es una forma emergente y muy sofisticada de ciberataque. En este artículo exploraremos cómo funciona, cómo está evolucionando y qué precauciones podemos tomar los usuarios para protegernos.

Esta nueva forma de estafa implica el uso de códigos QR maliciosos que, al ser escaneados por el usuario, redirigen a sitios que son fraudulentos. Estas webs pueden intentar robar información personal, como contraseñas y credenciales de inicio de sesión, o incluso instalar malware en el celular. A diferencia de los ataques de phishing tradicionales, donde se utilizan enlaces de texto que pueden ser identificados visualmente en un mail o mensaje, los códigos QR funcionan “enmascarando” el destino final, lo que los hace más difíciles de detectar antes de ser escaneados.

Un ejemplo común de quishing es el uso de códigos QR en mails que aparentan ser legítimos. En ellos se le solicita a los usuarios que re-autentiquen su acceso a sistemas de autenticación multifactor (MFA). Este tipo de ataque puede engañar incluso a usuarios más desconfiados, ya que los códigos QR parecen visualmente confiables, pero no sabemos nada sobre su contenido hasta que los escaneamos y ya es demasiado tarde.

Para Fabio Sánchez, director de Ciberseguridad de OCP TECH, el quishing como amenaza ha evolucionado rápidamente en estos últimos meses. “Al principio los ciberdelincuentes enviaban solicitudes simples de re-autenticación de MFA -sostiene Sánchez-, pero en la actualidad se ha descubierto que algunos de estos códigos QR no son imágenes reales, sino que están generados mediante caracteres ASCII incrustados en el código HTML de los correos electrónicos. En otras palabras: están usando un truco que es invisible a los sistemas de detección automática que buscan imágenes peligrosas”. Para Sánchez, este engaño hace que estos códigos falsos no sean identificados como amenazas.

Este avance en la técnica de quishing, conocido como «QR Code 3.0», representa el desafío más novedoso e importante hasta ahora para los sistemas de ciberseguridad. Como sucede en todos los casos, los atacantes encontraron maneras de sortear las defensas, aprovechando las vulnerabilidades que ya existen en las herramientas de protección tradicionales. De esta forma, los usuarios quedan expuestos a enlaces maliciosos ocultos detrás de lo que parece ser un simple código QR.

Para evitar caer en este tipo de ataque, Sánchez sostiene que es fundamental adoptar algunas precauciones, pero especialmente tres. “En primer lugar, no hay que confiar ciegamente en los códigos QR: siempre debemos verificar primero la fuente antes de escanear un código. Si nos llega un mail que nos solicita escanear un código QR, asegurémonos primero de que provenga de una fuente confiable”. La ley de la desconfianza es siempre la mejor compañera ante una posible estafa.

En segundo lugar, Sánchez recomienda mantener nuestros dispositivos siempre actualizados y utilizar alguna aplicación de seguridad en nuestros celulares que incluya herramientas de verificación de códigos QR. Estas aplicaciones pueden escanear el código y detectar amenazas antes de que nuestros dispositivos accedan al sitio web malicioso.

Por último, debemos educarnos a nosotros mismos y alertar a los demás. “La conciencia sobre este tipo de ataques es esencial», concluye Sánchez. «Debemos compartir información con familiares, amigos y compañeros de trabajo para que estén al tanto de los riesgos del quishing y no escaneen códigos QR sin saber de los peligros que hay detrás”.

Lamentablemente, el quishing llegó para recordarnos que, en el mundo digital en el que vivimos, ningún método es infalible ni está libre de riesgos. Pero también nos sirve para entender que, a medida que los ataques se vuelven más sofisticados, nuestra mejor defensa sigue siendo el conocimiento y la precaución.