Los bancos y los reguladores advierten que las estafas de phishing con códigos QR —también conocidas como quishing— eluden las defensas cibernéticas corporativas y cada vez engañan más a los clientes para que den sus datos financieros.
Los bancos, entre ellos Santander, HSBC y TSB, se unieron al Centro Nacional de Seguridad Cibernética de Reino Unido y a la Comisión Federal de Comercio de EU, entre otros, para expresar su preocupación por el aumento de los códigos QR fraudulentos que se utilizan para sofisticadas campañas de fraude.
El nuevo tipo de estafa por correo electrónico a menudo implica que los delincuentes envíen códigos QR en archivos PDF adjuntos. Los expertos dijeron que la estrategia es efectiva porque los mensajes con frecuencia pasan los filtros de seguridad cibernética corporativa, un software que normalmente marca los enlaces a sitios web maliciosos, pero a menudo no escanea las imágenes dentro de los archivos adjuntos.
“Lo que hace atractivo esto para los delincuentes es que se saltan toda la capacitación (sobre ciberseguridad) y también nuestros productos”, dijo Chester Wisniewski, asesor sénior de la compañía de software de seguridad Sophos.
Los investigadores y los gestores de fraudes dicen que es difícil estimar los costos del quishing, ya que las empresas de ciberseguridad y los bancos no suelen registrar el formato de los enlaces maliciosos y porque esos correos electrónicos pueden ser solo un elemento de un ataque cibernético más amplio.
Pero en la investigación de IBM se descubrió que los ataques de phishing —que implican que los estafadores envíen correos electrónicos dirigidos con enlaces maliciosos— son cada vez más caros para las empresas, y el costo promedio mundial de una violación de datos aumentará casi 10 por ciento hasta 4.9 millones de dólares en 2024.
Los códigos QR contienen datos, como direcciones URL o información de pago, en código binario. Inventados por la compañía japonesa Denso Wave en 1994 como herramienta para el seguimiento de autopartes, estos códigos están diseñados para que las máquinas, en particular los smartphones, puedan leerlos rápidamente, pero son ilegibles para los humanos.
Aunque la mayoría de los smartphones muestran una breve vista previa de la URL contenida en un código QR escaneado, los investigadores dicen que esta ventana emergente no es suficiente para que los usuarios puedan detectar que un enlace puede ser fraudulento.
- Te recomendamos HSBC México otorga 20 mdd de financiamiento a Jüsto Negocios
“Estos ataques se aprovechan del hecho de que los códigos QR, por naturaleza, son difíciles de interpretar visualmente, por lo que las víctimas a menudo no saben a dónde se les dirige hasta que es demasiado tarde”, dijo Amir Sadon, director de investigación de la consultora de seguridad cibernética Sygnia.
Los analistas indican que el predominio de este tipo de estafa se aceleró desde que aumentó la popularidad de los códigos QR durante la pandemia, cuando se usaron para mostrar todo tipo de cosas, desde pasaportes de vacunas hasta menús de restaurantes. “Es una tendencia creciente en términos de la cantidad de informes que estamos viendo”, dijo Steph Harrison, gerente sénior de operaciones de fraude en TSB.
En una encuesta realizada por la compañía de software de seguridad McAfee en mayo se encontró que más de una quinta parte de todas las estafas en línea en Reino Unido se originaron a partir de códigos QR.
Los informes de estafas con códigos QR en Reino Unido aumentaron más del doble en el año hasta agosto de 2024, según Action Fraud.
La Comisión Federal de Comercio de EU, así como varias autoridades locales en todo Reino Unido, también advirtieron este año sobre un tipo específico de estafa de quishing dirigida a los conductores, incluidos casos en los que unas calcomanías que dirigen a los usuarios a sitios fraudulentos se colocan sobre códigos QR legítimos.
Estos enlaces pueden dirigir a los usuarios a un sitio web incorrecto y solicitarles que ingresen sus datos, o llevarlos a descargar malware.
Peor aún, dijo Harrison, “también puede recibir una multa por no tener realmente un ticket de estacionamiento”.
Las víctimas también informan que se colocan códigos QR fraudulentos sobre los legítimos en puntos de carga de vehículos eléctricos, estaciones de tren y mesas de restaurantes.
Pero los investigadores dijeron que las estafas de “quishing” se despliegan más comúnmente en correos electrónicos, una amenaza que ejerce presión sobre los proveedores de seguridad corporativa para adaptar sus defensas en línea.
“Hoy casi ningún producto (de seguridad cibernética) revisa los archivos adjuntos”, dijo Wisniewski. “Si esto continúa siendo un problema, supongo que la industria tendrá que moverse para hacer eso, pero eso va a desacelerar la entrega de correos electrónicos y también hará que las cosas sean más caras”.