Qrishing
El término qrishing (derivado de la combinación de los conceptos phishing y código QR) o phishing a través de códigos QR es una tipologia de phishing la cual se ha popularizado con el aumento de la utilización de los códigos QR a causa de la pandemia.
Esta técnica consiste en la manipulación de códigos QR con la finalidad de engañar a las víctimas mediante la suplantación de páginas webs o aplicaciones a las que se accede al escanear el código QR el cual tiene asignado un link fraudulento utilizado con la finalidad de obtener información privada de las víctimas.
De este modo, al escanear un código QR el cual es fraudulento, se redirige al usuario a una página web la cual suplanta a la web auténtica pero que a simple vista no es detectable ya que tiene la misma apariencia que la original. Por tanto, si el usuario no verifica la URL de la página web y cree que está en el sitio web correcto, puede proporcionar datos personales los cuales es posible que sean utilizados de forma maliciosa por el ciberdelincuente.[1][2][3]
Tipologías de qrishing
Podemos diferenciar dos tipologías de qrishing:[4]
- A través del escaneo de un código QR falso el cual imita al original.
La víctima escanea el código QR el cual contiene un link que suplanta la identidad del original, al cual el usuario debería ser dirigido. Una vez el usuario está en la web falsa, sin tener conocimiento de ello, puede dar información privada (datos personales, datos bancarios, contraseñas, etc.) o descargar un software malicioso el cual infecta al dispositivo.
- Mediante la descarga de una aplicación cuya función es el escaneo de códigos QR pero la propia aplicación contiene un malware.
¿Cómo evitarlo?
A continuación se exponen algunas técnicas para evitar ser víctimas de qrishing:[4][5]
- Desactivar en el dispositivo la opción de abrir automáticamente los enlaces de los códigos QR.
- En el supuesto caso de que la página web a la que le ha dirigido el código QR solicite información privada, pensar si es realmente necesaria la solicitud de esta y, sobre todo, revisar si la URL de la página web es la correcta (prestar especial atención si estás están acortadas ya que no es usual).
- No escanear códigos QR de dudosa procedencia o desconocidos.
- Al escanear un código QR en físico revisar que no esté manipulado (en varias ocasiones se han detectado pegatinas de códigos QR falsos encima de los verdaderos).
- Si ha creado un código QR revisar frecuentemente y comprobar que no ha sido modificado o suplantado. También puede ser de utilidad un generador de códigos QR que ofreza garantías de seguridad.
Referencias
- «Te contamos sobre el Qrishing, el método de estafa a través de los códigos QR». TekCrispy. 19 de septiembre de 2021. Consultado el 13 de mayo de 2022.
- H50, Policía (2 de mayo de 2022). «Qrishing: el phishing a través de códigos QR». h50. Consultado el 13 de mayo de 2022.
- Bécares, Bárbara (14 de septiembre de 2021). «Phishing a través de tu QR o Qrishing: así funciona esta estafa de la que alerta la Policía en España». Genbeta. Consultado el 13 de mayo de 2022.
- «Qrishing. ¿Sabes en qué consiste esta nueva estafa? - Caja Rural de Cheste». www.grupocooperativocajamar.es. Consultado el 13 de mayo de 2022.
- BBVA (15 de febrero de 2022). «‘QRishing’, el tipo de ‘phishing’ oculto en códigos QR». BBVA NOTICIAS. Consultado el 13 de mayo de 2022.