Qué es el quishing y cómo evitarlo

El quishing es una técnica de ciberataque que combina métodos de phishing (suplantación de identidad en línea) con el uso de códigos QR para engañar a las víctimas y obtener información confidencial. Esta modalidad se ha vuelto cada vez más común, ya que los códigos QR están ampliamente presentes en la vida cotidiana, como en menús de restaurantes, publicidad y sistemas de pago. La facilidad con la que los usuarios suelen escanear estos códigos sin verificar su origen ha permitido que esta técnica esté cada vez más extendida.

¿Cómo funciona el quishing?

El proceso de un ataque de quishing se estructura en los siguientes pasos:

  1. Creación del código QR malicioso: Los atacantes generan un código QR que lleva a una URL o una aplicación fraudulenta. Este enlace puede dirigir a un sitio web que parece legítimo, como una página de inicio de sesión de un servicio bancario o de redes sociales.
  2. Distribución del QR: Los códigos pueden colocarse en espacios públicos (por ejemplo, impresos en papel, pegatinas o carteles), o incluso enviarse por correo electrónico o mensajes de texto. En estos casos, el atacante puede justificar el uso del código QR alegando medidas de “seguridad” o “comodidad”.
  3. Recopilación de datos: Una vez que la víctima escanea el código, es redirigida a una página que recopila datos personales, como contraseñas, información de tarjetas de crédito o credenciales de acceso a servicios en línea. También puede llevar a la descarga de malware en el dispositivo de la víctima, facilitando el control remoto del dispositivo o la recopilación de más información sensible.
  4. Uso de la información obtenida: Los datos capturados se usan para realizar fraudes financieros, acceder a cuentas personales o vender la información en el mercado negro.

Para protegerse del quishing, es recomendable verificar siempre el contexto antes de escanear un código QR; si este se encuentra en un lugar público o en un correo electrónico inesperado, es prudente desconfiar y revisar su origen. También resulta útil utilizar aplicaciones de seguridad que permitan previsualizar la URL antes de acceder, ya que algunas ofrecen seguridad adicional contra enlaces sospechosos. Cuando sea posible, es mejor optar por alternativas de acceso directo, como ingresar al sitio web legítimo desde el navegador, en lugar de depender de códigos QR. Finalmente, mantener los dispositivos y aplicaciones actualizados es esencial, pues esto ayuda a reducir vulnerabilidades ante ataques de malware asociados con QR maliciosos.

En España y Europa, aunque las normativas de privacidad y seguridad, como el Reglamento General de Protección de Datos (RGPD), buscan proteger a los usuarios contra el abuso de sus datos personales, el quishing plantea un reto adicional, ya que los métodos de ataque evolucionan constantemente. Esto pone presión sobre los legisladores para que consideren nuevos enfoques, como regular de manera más estricta el uso de códigos QR en servicios que manejen datos personales o financieros.

Actualmente, no existe una legislación específica en España para el uso de códigos QR, pero el INCIBE y la Agencia Española de Protección de Datos (AEPD) han comenzado a concienciar sobre esta técnica y emitir advertencias de seguridad. La educación es la herramienta más empleada hasta el momento para combatir estos fraudes.

En España, el uso de códigos QR ha crecido considerablemente desde la pandemia, y cada vez es más común verlos en comercios, publicidad y servicios públicos. Esto ha hecho que el país se vea expuesto a un aumento en la incidencia del quishing. Aunque no existen cifras oficiales muy detalladas sobre su impacto, los expertos en ciberseguridad advierten que los ciudadanos deben estar atentos, especialmente debido al aumento de fraudes bancarios y robo de credenciales en los últimos años.

Las autoridades de ciberseguridad en España, como el Instituto Nacional de Ciberseguridad (INCIBE), han emitido recomendaciones sobre la protección ante el quishing y otros ataques similares. A medida que los cibercriminales diversifican sus estrategias, se espera que este tipo de ataques sean un foco de atención en las campañas de concienciación en ciberseguridad en el futuro.

Los expertos en ciberseguridad prevén que los ataques de quishing se diversifiquen y se vuelvan aún más sofisticados con el tiempo. Una variante emergente es el quishing móvil, que se adapta a los comportamientos de los usuarios en dispositivos móviles. Los atacantes pueden, por ejemplo, crear ataques en attack chains, es decir, cadenas de ataque en las que el usuario es engañado para escanear varios códigos QR consecutivos o realizar múltiples acciones aparentemente seguras que culminan en la extracción de sus datos personales.

Otra táctica potencialmente peligrosa es la integración del quishing con deepfakes o tecnología de voz sintética, donde los atacantes podrían persuadir a las víctimas con mensajes en audio o video falsos, simulando ser una autoridad confiable para dar mayor credibilidad a los códigos QR maliciosos.

¿Te ha gustado este artículo? Ayúdanos a difundirlo en:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *