El nuevo método de ciberataque con códigos QR para robar información, ¿de qué se trata?

En un mundo donde la digitalización está a la orden del día, los ciberataques se han vuelto cada vez más sofisticados y peligrosos.

RELACIONADO

Nuevo método de estafa en Cartagena: delincuentes están engañando a los usuarios de Transcaribe

Recientemente, el equipo de Sophos X-Ops advirtió sobre un nuevo método de ataque conocido como quishing, una variante de phishing que utiliza códigos QR para engañar a los usuarios y robar sus credenciales corporativas. Este método ha puesto en alerta a muchas empresas, ya que aprovecha la confianza que solemos depositar en los códigos QR para cometer fraudes.

¿Cómo funciona el quishing?

El quishing explota la familiaridad de los usuarios con los códigos QR, una herramienta común para acceder a enlaces rápidamente desde dispositivos móviles.

Sin embargo, los atacantes están utilizando esta tecnología de manera maliciosa. El proceso suele iniciar con un correo electrónico aparentemente legítimo que contiene un archivo PDF.

RELACIONADO

Megaproyecto de un centro comercial en Cali resultó ser una estafa millonaria

Este PDF incluye un código QR que, en teoría, está relacionado con un trámite laboral, como la firma de un documento a través de plataformas populares como DocuSign.

Al escanear el código QR con el móvil, el usuario es redirigido a una página de inicio de sesión falsa, que puede imitar servicios conocidos como Microsoft 365. Al ingresar sus credenciales en esta página, los ciberdelincuentes capturan la información, incluidos el nombre de usuario, la contraseña y, en algunos casos, incluso los tokens de autenticación multifactor (MFA).

Este tipo de ataque es particularmente riesgoso porque los usuarios tienden a ser más cautelosos al revisar enlaces en su computadora, donde disponen de herramientas de seguridad más robustas, mientras que los móviles suelen tener menos protecciones.

Consejos para protegerte de los ataques de quishing

La amenaza del quishing ha llevado a los expertos en ciberseguridad a recomendar medidas preventivas para evitar caer en estas trampas. Entre los consejos proporcionados por Sophos destacan:

RELACIONADO

Ciberseguridad en la Era de la IA: ¿Aliada o enemiga?

1. Desconfía de los correos electrónicos con códigos QR en archivos adjuntos. Si no esperas un documento con esta característica, lo mejor es no escanear el código.
2. Verifica siempre el remitente del correo electrónico. Los atacantes suelen usar direcciones de correo que parecen legítimas, pero con ligeras variaciones.
3. Evita ingresar tus datos de inicio de sesión a través de páginas abiertas mediante un código QR. En su lugar, accede directamente a la página web escribiendo la URL en tu navegador.
4. Mantén actualizado el software antivirus y antiphishing en todos tus dispositivos, incluidos los móviles.
5. Participa en capacitaciones de ciberseguridad ofrecidas por tu empresa para aprender a identificar intentos de phishing. La ciberseguridad es un campo en constante evolución, y los métodos de ataque como el quishing demuestran que incluso las herramientas más cotidianas pueden convertirse en un riesgo. Estar informado y ser precavido puede marcar la diferencia entre ser víctima de un ataque y mantener tus datos seguros.