Escanear un código QR podría costarte caro: Así funciona el quishing

Desde hace unos años, el código QR se convirtió en una herramienta cotidiana. Muchos restaurantes, tiendas y servicios migraron sus menús o procesos al mundo digital con solo escanear una imagen desde el celular.

Pero lo que parecía una solución práctica, también se volvió terreno fértil para cometer fraudes.

MIT SMR México se financia mediante anuncios y socios

Sí, el código QR malicioso roba información confidencial. Su nombre es quishing, una combinación de “QR” y “phishing”, y su propósito es engañar a los usuarios para robar contraseñas, datos bancarios o incluso instalar malware.

Cómo utilizar el código QR para mejorar tu estrategia de marketing

¿Qué es el quishing y cómo funciona?

Se trata de un ataque común, en el que un usuario escanea un código QR que aparenta ser confiable, puede estar impreso en una mesa de restaurante, en redes sociales o en un correo electrónico, pero en realidad dirige a un sitio web fraudulento. Desde ahí, los atacantes pueden:

• Solicitar credenciales de inicio de sesión.
• Robar información bancaria.
• Descargar archivos maliciosos sin consentimiento.

Microsoft explica que este tipo de suplantación busca obtener datos confidenciales apelando al descuido, la urgencia o la confianza del usuario.

El quishing también ocurre por correo electrónico, donde se envían códigos QR disfrazados de promociones o mensajes.

Y existen otros casos en los que los delincuentes colocan pegatinas con QR falsos en lugares públicos como parquímetros, llevando a las víctimas a plataformas de pago fraudulentas.

¿Por qué es tan difícil detectar los QR maliciosos?

A diferencia de los enlaces tradicionales, los filtros de seguridad no analizan imágenes con la misma eficacia.

Es decir, un QR malicioso puede burlar los sistemas de protección de muchos dispositivos, aplicaciones o redes corporativas. Aún así, la prevención es posible si se cuenta con la información correcta, aunque no es fácil.

Cisco confirma que los códigos QR en imágenes dificultan su detección por sistemas antispam. Los atacantes ahora usan caracteres Unicode para evadir filtros, haciendo del quishing una técnica cada vez más sofisticada.

Por ello, es importante prevenirlos. Aunque escanear un código QR puede parecer un gesto simple, pero con la información equivocada, puede tener consecuencias graves.

¿Cómo protegerse de un QR malicioso? 6 consejos clave

De acuerdo con TechTarget, la mejor defensa contra el quishing es una comunidad de usuarios informados. Por ello, tanto empresas como personas deben considerar estas recomendaciones:

1. No escanear códigos QR de fuentes desconocidas. Verifica siempre la legitimidad del remitente, especialmente en correos electrónicos.
2. Confirma por otro canal. Si recibes un QR de una fuente aparentemente confiable, valida su autenticidad mediante una llamada, mensaje o contacto directo.
3. Desconfía de la urgencia emocional. Las campañas de phishing suelen apelar al miedo, la simpatía o el apuro. Revisa con calma cualquier mensaje sospechoso.
4. Usa apps de escaneo confiables. Opta por herramientas de desarrolladores reconocidos que ofrezcan funciones de seguridad adicionales.
5. Nunca ingreses datos personales tras escanear. Si el sitio solicita contraseñas, información bancaria o datos sensibles, detente y verifica la URL.
6. Mantén buenas prácticas de seguridad digital. Cambia tus contraseñas con regularidad y no repitas claves entre plataformas.

Apps para leer códigos QR de forma segura

Aunque las cámaras de los celulares escanean QR por defecto, hay aplicaciones especializadas que brindan mayor protección al analizar las URL antes de abrirlas. Algunas incluso muestran el destino final del enlace y alertan sobre redirecciones sospechosas.

Estas son algunas opciones recomendadas:

• QR Scanner – Safe QR Code Reader (Trend Micro)
• Lionic Secure QR Code Scanner
• Kaspersky QR Scanner

¿Cómo sacar mi acta de nacimiento con código QR?

---