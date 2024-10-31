Nuestros dispositivos móviles van a todas partes y podemos usarlos para casi cualquier cosa. Para las empresas, la accesibilidad de los dispositivos móviles también ha facilitado la creación de formas más interactivas de introducir nuevos productos y servicios, al tiempo que mejora las experiencias de los usuarios en diferentes sectores. Los códigos de respuesta rápida (QR) son un buen ejemplo de ello en acción y ayudan a los dispositivos móviles a navegar rápidamente a las páginas web o a instalar nuevo software simplemente escaneando una imagen.
Sin embargo, las organizaciones legítimas no son las únicas que generan códigos QR para mayor comodidad. Los ciberdelincuentes también están aprovechando los códigos QR y la creciente dependencia de la tecnología de campo cercano (NFC) para lanzar ataques sofisticados contra víctimas desprevenidas.
La Comisión Federal de Comercio (FTC) ha informado de una tendencia al alza de nuevos planes de phishing en los que los estafadores utilizan códigos QR aparentemente legítimos para enviar a los usuarios a sitios web y aplicaciones maliciosos y llevar a cabo varios ciberataques. Estas técnicas, denominadas "quishing", pueden ser muy eficaces, especialmente cuando los códigos generados se publican en lugares creíbles como productos minoristas, edificios comerciales y lugares de marketing de marca como revistas o anuncios publicitarios.
La razón por la que los ataques de quishing se han vuelto tan efectivos tiene que ver con la impulsividad asociada al escaneo de códigos QR debido a la comodidad del usuario, la facilidad con la que se pueden generar los códigos y el anonimato que proporcionan.
Cualquiera puede crear un código QR en línea utilizando una variedad de herramientas gratuitas disponibles. Como todos los códigos QR tienen un diseño similar, no se sabe qué instrucción le dará a un dispositivo hasta que se escanee.
Los ciberdelincuentes suelen generar códigos para redirigir a sitios web malintencionados en los que intentan instalar scripts de malware o pueden intentar solicitar permisos adicionales en el dispositivo que pueden guardarse para usarlos más adelante. Estos códigos se pueden imprimir y pegar directamente sobre códigos QR legítimos para que parezca que proceden de una fuente de confianza.
Mucha gente no se lo piensa dos veces antes de escanear estos códigos QR y, a menudo, acepta las instrucciones de elusión de seguridad que aparecen en sus dispositivos para poder acceder más fácilmente a la aplicación o a los servicios.
Cuando los códigos QR empezaron a aparecer, no mucha gente sabía qué eran ni cómo usarlos. Sin embargo, con la mayoría de los dispositivos móviles modernos capaces de utilizar la tecnología NFC y la capacidad de transmitir y recibir datos, comenzaron a convertirse en un medio popular para facilitar la publicidad y aumentar la comodidad de los usuarios.
Hoy en día, los códigos QR son utilizados comúnmente por una variedad de personas, y los ciberdelincuentes han utilizado el quishing para atacar a personas susceptibles. Muchos de estos incluyen:
Los establecimientos públicos visitados con frecuencia, como restaurantes y cafeterías, son los principales objetivos para el quishing. Muchos de estos riesgos se hicieron más evidentes durante el COVID-19, cuando se recurrió en gran medida a los códigos QR como forma de evitar contactos innecesarios al utilizar menús físicos o realizar pagos.
A medida que ha continuado la tendencia en el uso de códigos QR, los peligros del quishing no han hecho más que aumentar con los años. Las personas y las empresas deben tomar las precauciones adecuadas para evitar ser víctimas.
La FTC ha proporcionado varias estrategias que las organizaciones pueden seguir para protegerse de las estafas de quishing. Entre ellas figuran:
Piense antes de escanear: es importante reconocer que, si bien son convenientes y fáciles de usar, los códigos QR pueden presentar peligros ocultos. Antes de escanear un nuevo código, asegúrese de escanear solo códigos de fuentes acreditadas. Este es especialmente el caso si el código QR requiere acceso a ciertos permisos en su dispositivo móvil para funcionar correctamente.
Busque signos físicos de manipulación: cuando utilice códigos QR en lugares públicos, debe buscar signos físicos de manipulación. Aunque no todos los adhesivos QR deben considerarse maliciosos, debe inspeccionarlos cuidadosamente para ver si están pixelados o desalineados. Si parece sospechoso, simplemente no lo escanee.
Inspeccione las URL antes de usarlas: la mayoría de los dispositivos móviles tendrán protocolos de seguridad que le permitirán inspeccionar un intento de redirección de URL antes de aceptar navegar por el sitio. Tómese el tiempo necesario para asegurarse de que el código QR que ha escaneado le lleva al sitio o aplicación móvil correctos.
Tenga cuidado con las solicitudes QR no solicitadas: la recepción de correos electrónicos no solicitados de sitios web aparentemente legítimos con una solicitud para escanear códigos QR debe tratarse con cautela. Que le digan que escanee un código QR con poco contexto sobre para qué se utiliza debería ser una señal de alarma. Si no está seguro de la legitimidad, póngase en contacto con la empresa o vaya directamente a su sitio web sin utilizar ningún enlace de redireccionamiento.
Mantenga el NFC apagado cuando no esté en uso: como regla general, se recomienda mantener su NFC apagado cuando no esté en uso. Esto ayuda a evitar que se comparta cualquier dato entre dispositivos sin su consentimiento y ayudará a evitar ser demasiado impulsivo a la hora de escanear códigos QR públicos sin pensarlo detenidamente.
Los códigos QR son una forma cómoda de instalar aplicaciones y obtener más información sobre diferentes marcas y servicios. Sin embargo, es importante no dejar que la comodidad de escanear un código QR nuble su buen juicio a la hora de proteger su privacidad.
Permaneciendo alerta y siguiendo las directrices comentadas, usted y su empresa estarán mejor protegidos para no ser víctimas de esquemas de quishing.