Inicio Tecnología ¿Ese código QR es una trampa? Cómo detectar estafas de quishing antes...

¿Ese código QR es una trampa? Cómo detectar estafas de quishing antes de que sea demasiado tarde

36
0

BlackJack3D/ iStock / Getty Photographs Plus vía Getty Photographs

Siga ZDNET: Agréganos como fuente preferida en Google.


Conclusiones clave de ZDNET

  • El código QR en su correo electrónico o archivo adjunto podría ser una estafa.
  • El phishing con códigos QR evita la MFA, lo que conduce al robo de datos.
  • Cómo funcionan los ataques de quishing y qué puedes hacer para mantenerte a salvo.

¿Alguna vez has recibido un código QR en tu bandeja de entrada y la curiosidad se ha apoderado de ti?

Cuando pensamos en phishing y estafas, muchos de los trucos más antiguos son los que todavía encontramos a diario: correos electrónicos que afirman que tenemos parientes perdidos hace mucho tiempo que nos han dejado una herencia; ‘Fb’ advierte que nuestras cuentas serán congeladas a menos que respondamos rápidamente; premios de lotería falsos; y solicitudes no deseadas de los llamados inversores dispuestos a transferirnos millones de dólares.

Además: el phishing móvil es ahora una amenaza mayor que el correo electrónico

Sin embargo, los tiempos están cambiando. Las estafas de contratación se están volviendo lo suficientemente sofisticadas como para convencer a quienes buscan empleo a participar; La IA se utiliza para humanizar y mejorar los intentos de phishing e incluso automatizar cadenas de ataque enteras; y ahora está surgiendo un vector de ataque que utiliza los códigos QR como arma para eludir la autenticación multifactor (MFA), robar nuestros datos y secuestrar nuestras cuentas.

Quishing: el fraude QR va en aumento

Quishing, o phishing basado en códigos QR, incorpora enlaces maliciosos en códigos QR para eludir los filtros de phishing tradicionales y burlar las redes de seguridad. El atractivo es el mismo: crear una sensación de urgencia, apelar a nuestra codicia, infundir miedo y pánico, o prometer recompensas por escanear el código QR con nuestros teléfonos y hacer clic en el enlace incorporado para visitar una página o plataforma en línea.

Además: Microsoft apuesta por una nueva estrategia de seguridad de Home windows basada en IA

Un esquema de phishing con códigos QR puede adoptar muchas formas. Un mensaje falso de su banco, un correo electrónico felicitándolo por ganar la lotería o un mensaje urgente de su proveedor de redes sociales. Una vez que haya escaneado el código y haya hecho clic en el enlace, podría terminar en un dominio diseñado para robar sus datos o comprometer una cuenta de su propiedad.

Según Hoxhunt Informe de tendencias de phishing de 2026los mensajes básicos de phishing con códigos QR por correo electrónico están en declive, pero están resurgiendo como un vector de ataque oculto en archivos adjuntos de correos electrónicos fraudulentos, como archivos PDF maliciosos.

En common, los ataques de phishing con códigos QR aumentaron un 25 % año tras año. No se trata sólo de espacios digitales, ya que también se han detectado códigos QR en espacios físicos, incrustados en carteles o estampados en tarjetas de presentación falsas, según el informe.

Cómo los atacantes esquivan las defensas MFA

La investigación de Hothunt está respaldada por un aviso de junio del equipo de Confianza y Seguridad de Google advierte que los vectores de ataque de correo electrónico tradicionales están siendo reemplazados por ataques de adversario en el medio (AITM) y quishing.

Quishing se combina con AITM al disfrazar enlaces maliciosos en un formato que es difícil de leer o detectar mediante filtros de seguridad. Según Google y microsoftasí es como funciona: recibes un correo electrónico engañoso y la curiosidad te incita a escanear el código. Luego lo envían a un sitio internet clonado que parece ser el dominio de un servicio confiable, como un banco, un proveedor de servicios financieros o incluso una plataforma de trabajo.

También: Cómo hacer un código QR free of charge

Luego envía sus credenciales, lo que permite al atacante eludir las protecciones de autenticación multifactor (MFA) existentes porque cree que está iniciando sesión en un sitio internet confiable. Luego pueden capturar su contraseña y token de sesión, lo que provoca el robo de datos, el compromiso de la cuenta y más.

Lo que hace que esta táctica sea más peligrosa que el phishing tradicional, especialmente para las empresas, es que las víctimas usan sus teléfonos para escanear un código QR, evitando las redes de seguridad y protección basadas en la pink, como la detección de phishing.

El equipo de Microsoft Defender ha observado que las campañas de cibercriminales basadas en códigos QR han aumentado del 10% al 30% del complete de campañas de phishing en los últimos meses.

Cómo evitar caer en el phishing con códigos QR

Como los códigos QR ocultan destinos, enlaces y contenido en un formato related a una imagen, no podemos ver lo que contienen ni verificar sus orígenes fácilmente, razón por la cual escanear y seguir un código QR a ciegas es arriesgado.

Los códigos QR, especialmente aquellos que no esperas, deben ser tratados con la misma sospecha que los enlaces o archivos adjuntos enviados por correo electrónico. Sólo porque el formato es diferente, el ángulo del phishing sigue siendo el mismo: coaccionar o explotar la curiosidad de la víctima y atraerla para que haga clic y visite un recurso malicioso en línea. La única diferencia aquí es el mecanismo de entrega: en lugar de un enlace o archivo directo, la víctima usa una cámara para escanear.

Además: El mejor software program de eliminación de malware: probado y revisado por expertos

El mejor consejo aquí es ser cauteloso. Si recibe un correo electrónico que contiene un código QR que parece ser de su banco, visite el sitio internet oficial de su banco en una pestaña separada o abra la aplicación móvil de su banco. Incluso si un mensaje parece legítimo, por seguridad, no debe hacer clic en enlaces, abrir archivos adjuntos ni escanear códigos QR a menos que esté completamente seguro de que la fuente es legítima y el contenido del mensaje es seguro.

Tenga en cuenta también que las amenazas de códigos QR no se limitan a los correos electrónicos. mira eso Etiqueta de código QR ¿Abofeteado en un poste de luz cerca de tu tienda favorita? Incluso las pegatinas físicas con códigos QR pueden representar una grave amenaza para su privacidad y seguridad.



fonte

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí