Los códigos QR se han convertido en parte de nuestra vida cotidiana. Desde menús en restaurantes hasta entradas de conciertos o promociones, su facilidad de uso los ha hecho omnipresentes.
Sin embargo, esta misma accesibilidad los ha convertido en una herramienta ideal para los ciberdelincuentes. Una compañía de ciberseguridad ha detectado que casi un 10% de las nuevas campañas de phishing incluyen códigos QR maliciosos. El quishing (QR phishing) es una evolución del phishing tradicional que aprovecha el uso masivo de los códigos QR.
El objetivo de estos ataques es simple: engañar al usuario para que escanee un código malicioso con su móvil y lo lleve a una web fraudulenta. A menudo, estos sitios imitan plataformas conocidas para robar credenciales de acceso.
Desde el punto de vista del atacante, esta técnica tiene varias ventajas. Por un lado, dificulta la detección a las soluciones de seguridad tradicionales, como aquellas que analizan links sospechosos dentro de un correo. Cuando el enlace se oculta tras un código QR en un documento PDF adjunto, el filtrado automático se vuelve menos efectivo.
Por otro lado, el uso de dispositivos personales para escanear estos códigos es otro problema difícil de gestionar. En muchas empresas, los empleados reciben correos en su ordenador de trabajo, un sistema que cuenta con ciertas medidas de protección.
Sin embargo, es habitual que utilicen su teléfono personal para escanear el código QR. Este teléfono, por supuesto, no suele contar con las mismas protecciones. Esta situación no sólo dificulta la protección, sino que hace más difícil de rastrear y contener el ataque por parte de la empresa.
Los atacantes suelen suplantar identidades de empresas conocidas para generar confianza en sus víctimas. Según un informe de Barracuda, más del 50% de los ataques de quishing imitan a Microsoft (OneDrive, Sharepoint), mientras que otros se hacen pasar por plataformas como DocuSign y Adobe. Este tipo de ataques no sólo busca robar credenciales, sino que también puede buscar instalar malware en los dispositivos atacados.
Este tipo de amenazas puede poner en jaque la seguridad de empresas de todos los tamaños, desde autónomos hasta grandes corporaciones. Esta amenaza es un claro reflejo de una realidad ya constatada: los adversarios evolucionan constantemente y son cada vez más sofisticadas. Contar con medidas de seguridad adecuadas ya no es una opción, sino una necesidad para cualquier tipo de empresa.
Protege tu empresa: seguridad continua y concienciación
La ciberseguridad no es un producto que se compra una sola vez, sino un proceso continuo. Los cibercriminales evolucionan, sus métodos cambian y las empresas deben estar preparadas. Instalar un antivirus o un producto de seguridad en el correo y olvidarse del tema ya no es una opción.
Para protegerse del quishing y otras amenazas, es fundamental adoptar un enfoque integral de seguridad que incluya, entre otros:
- Monitorización continua: un servicio con el que una empresa especializada, que se mantiene al día en nuevas amenazas, nos ayuda a detectar y detener intentos de intrusión en tiempo real.
- Formación a empleados: debemos realizar campañas regulares de concienciación, como simulaciones de correo maliciosos y formaciones en ciberseguridad. Esta formación debe ser continua y adaptarse a las últimas amenazas, para convertir al trabajador se en una barrera de seguridad adicional, que pueda identificar y reportar cualquier incidente de seguridad.
- Evaluaciones técnicas constantes: desgraciadamente, el “quishing” sólo es un ejemplo. La seguridad evoluciona en todos los ámbitos imaginables, por lo que realizar evaluaciones periódicas de la seguridad de nuestros procesos y activos tecnológicos es una necesidad.
Las compañías de servicios continuos de ciberseguridad permiten al negocio delegar esta compleja función en especialistas en la materia. Contar con buenas medidas de protección y saber responder correctamente pueden ser la diferencia entre una compañía exitosa y una en riesgo de desaparecer.
Además de los enfoques estratégicos ya mencionados, existen medidas que todos nosotros podemos aplicar de inmediato para reducir la exposición al quishing. Por un lado, cuando recibas un código QR debes verificar que venga de una fuente confiable antes de escanearlo. Por ejemplo, nunca escanees un código QR que parezca pegado sobre otro, probablemente el original haya sido sustituido por uno malicioso.
Además, si accedes a un sitio desde un código QR, revisa la URL antes de interactuar con la página. Por supuesto, es totalmente desaconsejable introducir tus credenciales en sitios a los que hayas accedido desde un QR; en su lugar, visita directamente el sitio oficial. Para minimizar los riesgos, haz uso del doble factor de autenticación siempre que sea posible.
En definitiva, los códigos QR han pasado de ser una herramienta inofensiva a un potencial vector de ataque. Las empresas, independientemente de su tamaño, deben tomar medidas para protegerse. Tener precaución al escanear códigos QR es un primer paso, pero no es suficiente.
El mundo digital es un campo de batalla en constante evolución. No dejes que tu empresa sea la próxima víctima. Infórmate, protege tus activos con una estrategia de seguridad integral y busca ayuda de expertos en ciberseguridad.
