Los códigos QR fraudulentos engañan a los clientes y eluden las defensas cibernéticas

Los bancos y las autoridades reguladoras están alertando del aumento de las estafas de phishing con códigos QR, también conocidas como "quishing", que están eludiendo las defensas cibernéticas corporativas y engañando cada vez más a los clientes para que proporcionen su información financiera.

Cómo funcionan las estafas de "quishing"

Los estafadores envían códigos QR en archivos PDF adjuntos a correos electrónicos. Estos mensajes suelen superar los filtros de seguridad cibernética que detectan enlaces maliciosos, ya que el software no siempre analiza las imágenes de los archivos adjuntos.

"Los delincuentes utilizan esta estrategia porque evita las medidas de formación en ciberseguridad y nuestros productos", explica Chester Wisniewski, asesor sénior de la empresa de software de seguridad Sophos.

Estos códigos QR contienen datos, como direcciones URL o información de pago, en un formato binario. Aunque la mayoría de los smartphones muestran una breve vista previa de la URL al escanear el código, esta información a menudo no es suficiente para que los usuarios detecten enlaces fraudulentos.

"Estos ataques aprovechan el hecho de que los códigos QR son difíciles de interpretar visualmente, por lo que las víctimas suelen desconocer el destino del enlace hasta que es demasiado tarde", afirma Amir Sadon, director de investigación de la consultora de seguridad cibernética Sygnia.

Incremento de las estafas de "quishing"

La popularidad de los códigos QR se disparó durante la pandemia, cuando se utilizaron para mostrar pasaportes de vacunas y menús de restaurantes, entre otros fines. Este aumento ha llevado a un incremento de las estafas de quishing.

"Estamos observando una tendencia creciente en el número de informes", señala Steph Harrison, gerente sénior de operaciones de fraude en TSB. Una encuesta realizada por McAfee reveló que más del 20% de las estafas en línea en el Reino Unido en mayo de 2024 se originaron a partir de códigos QR.

La Comisión Federal de Comercio de EE. UU. y varias autoridades locales en el Reino Unido han advertido sobre un tipo específico de estafa de quishing dirigida a conductores, en la que se colocan calcomanías fraudulentas sobre códigos QR legítimos.

Estas estafas también se han detectado en puntos de carga de vehículos eléctricos, estaciones de tren y mesas de restaurantes.

Recomendaciones para evitar las estafas de "quishing"

Los expertos recomiendan a los usuarios que sean precavidos con los códigos QR y que no escaneen aquellos que no reconozcan o que parezcan sospechosos.

Las empresas y las organizaciones deberían revisar los archivos adjuntos de los correos electrónicos en busca de códigos QR fraudulentos y utilizar soluciones de seguridad actualizadas para detectar y bloquear tales amenazas.