A lo largo del tiempo, el phishing se ha consolidado como una de las técnicas más efectivas utilizadas por los ciberdelincuentes para engañar a las personas y obtener información confidencial en entornos digitales. Tradicionalmente, este tipo de ataques se ha difundido a través de correos electrónicos, mensajes de texto (smishing), llamadas telefónicas (vishing) y redes sociales, donde los atacantes personalizan sus mensajes para parecer legítimos y aumentar las probabilidades de éxito.
Sin embargo, en los últimos años, los códigos QR se han convertido en un nuevo canal para ejecutar este tipo de fraudes. A través de una técnica conocida como quishing o qrishing, los atacantes aprovechan la practicidad y el uso generalizado de los códigos QR para ocultar enlaces maliciosos, redirigir a sitios falsos o capturar información personal sin que el usuario lo note.
En esta guía abordaremos esta nueva modalidad de phishing, una técnica que, al igual que otras variantes, representa un riesgo significativo para la seguridad de la información y la ciberseguridad.
¿Qué son los códigos QR?
Los códigos QR (del inglés Quick Response, o "respuesta rápida") son una versión bidimensional del código de barras, capaces de almacenar información que puede leerse rápidamente a través de un escaneo.
Inicialmente, fueron creados para mejorar el seguimiento de piezas en la industria automotriz, específicamente para su gestión durante la producción de vehículos. Sin embargo, resultaron ser tan prácticos y útiles que ahora están en todas partes. Los encontramos en restaurantes para acceder a menús digitales, en eventos y entradas como sustituto de boletos impresos, en redes sociales para redirigir a perfiles específicos, e incluso para compartir el acceso a redes inalámbricas sin necesidad de escribir contraseñas, entre muchos otros usos.
¿Qué es el Quishing?
A primera vista, un código QR parece una herramienta inofensiva: un gráfico cuadrado que simplemente dirige a una página web o a un recurso digital. Sin embargo, esa misma apariencia simple representa su principal riesgo: el usuario no puede saber visualmente a dónde lo llevará hasta después de escanearlo.
Esto los convierte en un vector ideal para ataques como el quishing (QR + Phishing), en los que un actor malicioso crea un código QR que parece legítimo, pero en realidad redirige al usuario a un sitio web falso que imita páginas oficiales, como plataformas educativas y bancarias con el objetivo de robar credenciales de acceso (usuario y contraseña), obtener datos personales o bancarios (nombre, teléfono, números de tarjetas y claves de acceso bancarias), o incluso hacer que descargue malware (software malicioso).
El quishing se ha convertido en una técnica de ataque particularmente efectiva porque combina la ingeniería social con el uso cotidiano de los códigos QR. Los ciberdelincuentes crean situaciones que parecen inofensivas, pero están diseñadas para manipular emociones humanas como la urgencia, la curiosidad, la confianza o el deseo de obtener algo gratuito, con el objetivo de que el usuario escanee los códigos sin evaluar el riesgo. Por ejemplo:
- Colocan códigos QR en espacios públicos que prometen premios, descuentos o sorteos, pero al escanearlos llevan a páginas donde se pide llenar formularios con datos personales.
- Envían correos electrónicos para robar credenciales de acceso con mensajes como "tu cuenta será suspendida, escanea este código para verificar tu identidad".
- Colocan códigos QR para Wi-Fi gratis en lugares públicos, pero al escanearlos redirigen a páginas donde solicitan datos o descargan archivos maliciosos.
- Colocan pegatinas con códigos QR sobre carteles de pago redirigiendo a sitios falsos que simulan ser el sistema de cobro oficial.
Incluso sin fines maliciosos directos, los códigos QR pueden utilizarse de forma manipuladora para engañar al usuario y redirigirlo a publicidad o contenido no solicitado. Por ejemplo, algunos se presentan como enlaces a contenido llamativo con frases como "No creí que fueras capaz" o "Mira el siguiente video antes de que lo eliminen", pero en realidad conducen a publicidad, campañas de marketing o páginas sin relación con lo prometido.
Recomendaciones
Para protegerse del quishing es importante seguir varias recomendaciones como las que se muestran a continuación:
- Si tu dispositivo lo permite, deshabilita la opción de abrir automáticamente los enlaces al escanear un código QR.
- Desconfía de la urgencia o recompensas inmediatas. Frases como "Escanea para ganar" o "Escanéame" son tácticas comunes de engaño.
- Evita escanear códigos QR de dudosa procedencia: verifica la identidad del autor (persona o entidad). Desconfia de códigos pegados en lugares públicos.
- Si el código QR está en el mundo físico antes de escanearlo, comprueba que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegado sobre el código real.
- Utiliza aplicaciones de escaneo seguras que muestren la URL del código QR antes de redirigirte al sitio. De esta forma, podrás revisar la dirección antes de acceder al contenido o ingresar cualquier información.
- Si al escanear un código QR se abre una página que solicita información personal, especialmente contraseñas o datos de pago, es fundamental detenerse y cuestionar si realmente el contexto justifica esa solicitud.
- Plantea alternativas. Siempre que sea posible, evita el uso de códigos QR. Si puedes ingresar directamente al sitio oficial, esta será la opción más segura.
Conoce más
Si quieres conocer más sobre ingeniería social, consulta el video ganador del 3er lugar en el concurso "Comunidad segura, porque la información segura… ¡Es cultura!".
Consejos adicionales para protegerte en la guía para detección de phishing mediante correo electrónico.
