La Habana, Cuba. – Ya se conoce sobre el phishing, porque se ha hablado bastante de él, una modalidad de estafa en línea cada vez más común en el mundo digital. Esta técnica es utilizada por ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, números de tarjeta de crédito o información personal.

Por otra parte, los códigos QR son una herramienta que se ha impuesto por su comodidad de uso y las ventajas que ofrece.

QR es la sigla de Quick Response (respuesta rápida). Es un código bidimensional con el que se muestra información de forma muy abreviada y que se recupera escaneando el código. Los códigos pueden leerse con la cámara de un smartphone.

Ese código funciona de forma similar a los códigos de barras de los supermercados. Sin embargo, el código QR puede procesar más información. Así, el usuario puede ser dirigido a páginas de inicio, imágenes, vídeos, archivos de texto, y otras informaciones.

Ahora bien, los códigos QR también pueden ser aprovechados por estafadores para llevar a cabo ataques de phishing.

Los códigos QR no son maliciosos perse, pero el enlace que está detrás de ellos sí lo es. En ese tipo de ataques, los enlaces llevan a páginas en los que solicitan las credenciales de los usuarios, con señuelos habituales en los que se suplanta la identidad de una empresa conocida y se pide a las víctimas que se autentiquen. La expresión quishing es una combinación del término phishing y la abreviatura QR y describe los ataques de phishing a través de un código QR.

Los teléfonos inteligentes forman parte de la vida laboral cotidiana de muchas personas, eso exige que las normas de seguridad de los dispositivos móviles se definan y pongan a disposición de todos los empleados. Debe regularse claramente para qué fines puede utilizarse el smartphone.

Además, este debe cumplir las normas de seguridad vigentes, algo que prácticamente nadie hace. Las actualizaciones de seguridad deben realizarse siempre con prontitud y debe utilizarse la autenticación de dos factores o multifactorial si tiene sentido y es posible.

Algunas manera para protegerse del quishing pueden ser las siguientes: No escanee los códigos QR que aparecen en los correos electrónicos de remitentes desconocidos o poco fiables; Utilice un escáner QR que le muestre a qué página se le redirige, haga clic sólo en las páginas en las que confíe; Sospeche si un contacto conocido le envía de repente un código QR en un correo electrónico sin explicación cuando nunca antes lo había hecho; de no estar seguro, abra el sitio web correspondiente por separado en el navegador y siga las indicaciones que allí se dan en lugar de escanear el código QR. Así se podrá comprobar la autenticidad del mensaje y estar seguro.

De lo que se habla ya está teniendo una repercusión importante en países con alto nivel de bancarización de la sociedad. Por ejemplo, según un informe de la división de inteligencia de amenazas de la compañía Check Point Software, el quishingenviados por correo electrónico se ha incrementado un 587% en los meses de septiembre y octubre de 2023.

La BSI (Oficina Federal Alemana de Seguridad de la Información) advierte actualmente contra ese tipo de ataques porque, por un lado, la dirección de internet (URL) que hay detrás de los códigos QR es difícil de reconocer para los usuarios; y por otro lado, los filtros de spam ya reconocen hoy en día un gran número de correos electrónicos de phishing, pero los códigos QR siguen planteando dificultades a los filtros.

Las soluciones de seguridad informática analizan los archivos adjuntos y las URL para filtrar los mensajes de phishing. Sin embargo, un código QR suele percibirse como un archivo de imagen inofensivo, por lo que supera las medidas de protección.

Evidentemente se abre un nuevo frente en el sector de la ciberseguridad, pónganse manos a la obra.