El código QR no es nuevo, pero desde el comienzo de la pandemia hace ya dos años ha experimentado un gran auge. Y es que se ha convertido en una excelente manera de obtener información con el smartphone, sin necesidad de tocar nada. Aunque lo más popular ha sido su aplicación en la hostelería, muchos negocios ya lo han implantado de manera definitiva para reducir el riesgo de contagio.

Pero como toda tecnología que despunta en un momento dado, también es una puerta abierta para los ciberdelincuentes, que han visto una vía perfecta para poder expandir malware o intentar estafas. Esta práctica de denomina Qrishing, que fusiona el término de suplantación de identidad, “phishing”, con los códigos QR.

carta online restaurante

También te puede interesar: Cómo crear cartas de restaurante online totalmente gratis

¿Qué es el Qrishing y cómo se lleva a cabo?

La practica no tiene nada de sofisticado, al menos en su primera etapa. El problema viene cuando la víctima escanea el código y es redirigido al sitio web que imita a la empresa. A continuación, se le pide que proporcione información confidencial.

Un ejemplo de phishing clásico es recibir el mismo correo que envía un banco, pero con una pequeña diferencia en la dirección que indica claramente que se trata de una estafa. Esto también puede suceder con los códigos códigos QR, que insertan enlaces a páginas que se parecen a las páginas que desea visitar, pero que son totalmente falsas: esto es el Qrishing.

En otras palabras, el Qrishing es el clásico phishing pero camuflado aún más bajo un código QR a cuyo formato todo el mundo se ha acostumbrado. Entre sus riesgos están el robo de claves, datos personales o bancarios, u otras acciones maliciosas o dañinas. Esta práctica, cada vez más habitual, está siendo detectada en muchos servicios.

Una de las más recientemente detectadas afecta a parquímetros y a las empresas que los gestionan. Los ciberdelincuentes colocan pegatinas sobre los códigos QR de los parquímetros que son códigos QR maliciosos. El objetivo es dirigirlos a una web totalmente ficticia para el pago, y esto puede desembocar en el robo de los datos de la tarjeta de crédito.

El modus operandi de esta práctica es el siguiente:

  • La víctima escanea el código y es redirigida a una web que suplanta la empresa original. A continuación, se le solicita información confidencial. Por ello es de vital importancia que siempre se revise a qué dirección nos manda el enlace antes de pinchar en ellos.
  • Tras leer el código con nuestro dispositivo y llevarnos a una web "falsa" o "infectada", se puede descargar automáticamente software malicioso. Una vez infectado tu dispositivo, puedes esperar cualquier cosa: aparte de lo ya mencionado, altas en servicios premium o uso del móvil para realizar un ataque DDOS contra un sitio web legítimo, por ejemplo.

Una variante igualmente peligrosa es el QRljacking o secuestro de sesión: en este caso, se secuestra la cuenta de un servicio que acepte la función de inicio de sesión mediante código QR. Para ello basta con engañar a la víctima para que escanee un código falso que imita al original. Al escanearlo el atacante roba las credenciales de acceso a la sesión de la victima y accede a la información contenida en la cuenta.

ataque Qrishing

Cómo protegerse del Qrishing

  • Desactiva la opción para abrir automáticamente el enlace al escanear el código QR.
  • Antes de abrir el código, usa una aplicación de análisis que te permita ver a qué URL apunta este código. Así podrás verificar la dirección antes de acceder al contenido o ingresar información.
  • No escanees el código QR de una fuente sospechosa. Verifica la identidad del creador (empresa u organización) y asegúrate de que afirma ser quien dice ser. En caso de duda, busca en Internet más detalles o usa otro método para investigar esas identidades y objetivos.
  • Como decíamos, los delincuentes suelen colocar una pegatina sobre el código real. Por eso antes de escanearlo comprueba que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegados sobre el código real. Si lo detectas por ejemplo en un escaparate informa al responsable del establecimiento.
  • Si el responsable comercial eres tú, comprueba periódicamente que el código QR utilizado no ha sido manipulado.
  • Si el código QR conduce a una página que requiere información personal, como contraseñas o datos relacionados con los métodos de pago, asegúrate con el comercio de que no hay nada sospechoso en el procedimiento.

Ahora que ya conoces más en detalle los peligros del Qrishing, solo necesitas asegurarte de que dispones de la mejor conexión para que tu negocio sea un éxito. En MÁSMÓVIL Negocios te proporcionamos los mejores servicios de telecomunicaciones para que estés siempre conectado con tus proveedores y clientes. Visita nuestra web o llámanos gratis al 1495 y te informaremos sin compromiso.

Y tú, ¿has implantado el código QR en tu negocio?