Las estafas de ‘quishing’ engañan a millones de estadounidenses mientras los ciberdelincuentes convierten el código QR en algo dañino
- Casi tres cuartas partes de los estadounidenses (73%) escanean códigos QR sin verificación, y más de 26 millones ya han sido dirigidos a sitios maliciosos, según NordVPN.
- La FTC advirtió a principios de este año sobre el escaneo de códigos QR en paquetes inesperados.
- El Departamento de Transporte de la Ciudad de Nueva York emitió una advertencia de que los estafadores están publicando códigos QR en los parquímetros que no son enlaces de pago legítimos.
Los códigos QR fueron en su día una novedad peculiar que invitaba a un divertido escaneo con el teléfono. Al principio, quizá vieras un código QR en una pieza de museo y lo escanearas para aprender más sobre los hábitos alimenticios del mamut lanudo o las estrategias militares de Gengis Kan. Durante la pandemia, los códigos QR se convirtieron en el menú por defecto de los restaurantes. Sin embargo, a medida que se convirtieron en un elemento fundamental en aspectos más urgentes de la vida estadounidense, desde las tarjetas de embarque hasta el pago del aparcamiento, los hackers han explotado su ubicuidad.
Al igual que muchos avances tecnológicos que nacen con buenas intenciones, los códigos QR se han convertido cada vez más en blanco de usos maliciosos. Dado que están en todas partes, desde gasolineras y letreros de jardín hasta anuncios de televisión, son útiles y peligrosos a la vez, afirmó Dustin Brewer, director sénior de servicios de ciberseguridad proactiva de BlueVoyant.
Brewer dice que los atacantes explotan estos símbolos aparentemente inofensivos para engañar a las personas para que visiten sitios web maliciosos o compartan información privada sin saberlo, una estafa que se conoce como “quishing”.
La creciente prevalencia de las estafas con códigos QR provocó una advertencia de la Comisión Federal de Comercio a principios de este año sobre paquetes no deseados o inesperados que aparecían con un código QR que, al escanearse, “podría llevarte a un sitio web de phishing que roba tu información personal, como números de tarjetas de crédito o nombres de usuario y contraseñas. También podría descargar malware en tu teléfono y dar acceso a tu dispositivo a hackers”.
Este verano, los avisos estatales y locales han llegado a todo Estados Unidos, con el Departamento de Transporte de Nueva York y Hawaii Electric advirtiendo a los clientes que eviten las estafas con códigos QR.
El atractivo para los cibercriminales reside en la relativa facilidad con que opera la estafa: se coloca una etiqueta con un código QR falso en un parquímetro o en una advertencia de pago de una factura de servicios públicos y se confía en la urgencia para hacer el resto.
“Los delincuentes confían en que tengas prisa y necesites hacer algo”, dijo Gaurav Sharma, profesor del departamento de ingeniería eléctrica e informática de la Universidad de Rochester.
En aumento a medida que el phishing tradicional fracasa
Sharma prevé que las estafas con códigos QR aumentarán a medida que se extiende su uso. Otra razón por la que los códigos QR han ganado popularidad entre los estafadores es que se han implementado más medidas de seguridad para frenar las campañas tradicionales de phishing por correo electrónico. Un estudio realizado este año por la plataforma de ciberseguridad KeepNet Labs reveló que el 26 % de todos los enlaces maliciosos se envían mediante códigos QR. Según la empresa de ciberseguridad NordVPN, el 73 % de los estadounidenses escanea códigos QR sin verificación, y más de 26 millones ya han sido redirigidos a sitios web maliciosos.
“El juego del gato y el ratón en materia de seguridad continuará, la gente buscará soluciones y los delincuentes encontrarán la manera de evitarlas o buscarán otros lugares donde el pasto sea más verde”, dijo Sharma.
Sharma está trabajando en el desarrollo de un código QR “inteligente” llamado SDMQR (QR de doble modulación y autoautenticación) con seguridad integrada para prevenir estafas. Pero primero, necesita la aprobación de Google y Microsoft, las empresas que fabrican las cámaras y controlan su infraestructura. Que las empresas incluyan sus logotipos en los códigos QR no es una solución, ya que puede generar una falsa sensación de seguridad y, además, los delincuentes suelen poder copiar los logotipos, afirmó.
Algunos estadounidenses se muestran cautelosos ante la creciente dependencia de los códigos QR.
“Tengo más de 60 años y no me gusta usar códigos QR”, dijo Denise Joyal de Cedar Rapids, Iowa. “Definitivamente me preocupan los problemas de seguridad. No me gusta que me obliguen a usar un código QR para participar en una promoción sin otra forma de conectarme. No los uso para información de entretenimiento”.
Las instituciones también están intentando proteger sus códigos QR de intrusiones.
Natalie Piggush, portavoz del Museo de Niños de Indianápolis, que recibe más de un millón de visitantes al año, dijo que su personal de TI comenzó a actualizar sus códigos QR hace un par de años para protegerse contra lo que se ha convertido en una amenaza cada vez más significativa.
En el museo, utilizamos códigos QR estilizados con nuestro logotipo y colores, en lugar de los códigos monocromáticos estándar. También detallamos lo que los usuarios pueden esperar ver al escanear uno de nuestros códigos QR, e inspeccionamos periódicamente los códigos QR existentes para detectar alteraciones o códigos fuera de lugar, explicó Piggush.
Los museos suelen ser menos vulnerables que lugares como estaciones de tren o estacionamientos, ya que los estafadores buscan cobrar dinero a quienes esperan pagar. Es menos probable que un visitante de un museo espere pagar, aunque Sharma afirmó que incluso en esos entornos, se pueden usar códigos QR falsos para instalar malware en el teléfono de alguien.
La confianza de los usuarios de Apple y Android es un problema
Es probable que las estafas con códigos QR afecten tanto a dispositivos Apple como Android, pero los usuarios de iPhone podrían ser ligeramente más propensos a ser víctimas de este delito, según un estudio realizado a principios de este año por Malwarebytes. Los usuarios de iPhone expresaron mayor confianza en sus dispositivos que los usuarios de Android, lo que, según los investigadores, podría llevarlos a bajar la guardia. Por ejemplo, el 70 % de los usuarios de iPhone ha escaneado un código QR para iniciar o completar una compra, frente al 63 % de los usuarios de Android que lo han hecho.
El investigador de Malwarebytes, David Ruiz, escribió que la confianza podría tener un efecto negativo, ya que los usuarios de iPhone no sienten la necesidad de cambiar su comportamiento al realizar compras en línea y tienen menos interés (o simplemente desconocen) en usar medidas de ciberseguridad adicionales, como antivirus. El 55 % de los usuarios de iPhone confía en su dispositivo para mantenerse seguros, frente al 50 % de los usuarios de Android que expresan la misma opinión.
Táctica de piratería informática de baja inversión y alto rendimiento
Un código QR es más peligroso que un correo electrónico de phishing tradicional porque los usuarios no suelen poder leer ni verificar la dirección web codificada. Aunque los códigos QR suelen incluir texto legible, los atacantes pueden modificarlo para engañar a los usuarios y hacer que confíen en el enlace y el sitio web al que dirigen. La mejor defensa contra ellos es no escanear códigos QR no deseados o inesperados y buscar aquellos que muestren la URL al escanearlos.
Brewer dice que los ciberdelincuentes también han estado aprovechando los códigos QR para infiltrarse en redes críticas.
“También existen informes creíbles de que agencias de inteligencia de estados-nación han utilizado códigos QR para comprometer las cuentas de mensajería de personal militar, a veces utilizando software como Signal, que también está disponible para los consumidores”, afirmó Brewer. Los atacantes de estados-nación incluso han utilizado códigos QR para distribuir troyanos de acceso remoto (RAT), un tipo de malware diseñado para operar sin el consentimiento ni el conocimiento del propietario del dispositivo, lo que permite a los hackers obtener acceso total a los dispositivos y redes objetivo.
Aun así, uno de los aspectos más peligrosos de los códigos QR es que son parte de la vida cotidiana y una ciberamenaza oculta a plena vista.
Lo especialmente preocupante es que folletos, carteles, vallas publicitarias o documentos oficiales legítimos pueden verse fácilmente comprometidos. Los atacantes pueden simplemente imprimir su propio código QR y pegarlo física o digitalmente sobre uno genuino, lo que hace casi imposible que el usuario promedio detecte el engaño, afirmó Brewer.
Rob Lee, jefe de investigación de inteligencia artificial y amenazas emergentes en SANS Institute, un centro especializado en capacitación en ciberseguridad, dice que la vulneración de códigos QR es solo otra táctica en una larga lista de estrategias similares en el manual de estrategias cibercriminales.
“Los códigos QR no se crearon pensando en la seguridad, sino para simplificar la vida, lo que también los hace perfectos para los estafadores”, dijo Lee. “Ya hemos visto esta estrategia con correos electrónicos de phishing; ahora solo viene con un cuadrado pixelado con una sonrisa. Aún no es para causar pánico, pero es justo el tipo de táctica de bajo esfuerzo y alto rendimiento que a los atacantes les encanta escalar”.
No hay comentarios:
Publicar un comentario