En el vertiginoso mundo de las ciberestafas, una variante relativamente nueva ha empezado a popularizarse con el auge de los pagos móviles y las tecnologías de escaneo de códigos QR. De hecho, se basa en el uso de estos últimos para engañar a los usuarios, de tal manera que el estafador pueda obtener su información confidencial o incluso acceder a sus cuentas bancarias.
Este método, conocido como 'quishing' (una fusión de las palabras "QR" y "phishing"), ejecuta sus engaños a través de códigos QR falsificados que redirigen a sus víctimas a sitios web maliciosos que imitan a las webs de entidades legítimas, al igual que los enlaces incluidos en los mensajes de phishing.
Así, al creer que el sitio es legítimo, la víctima puede ser engañada para que introduzca información sensible, como datos de acceso o números de tarjeta de crédito.
Los estafadores crean códigos QR fraudulentos y los distribuyen en lugares públicos o a través de mensajes móviles o de correo electrónico, con el objetivo de que las personas los escaneen sin darse cuenta y caigan en la trampa.
Un ejemplo reciente
Hace unos días, un usuario denunciaba en X que le había llegado por correo postal a su casa una postal, decorada con el logo de Amazon, con información sobre los pasos a realizar para poder obtener un cupón de descuento que el usuario pudiera usar en la plataforma de e-commerce... con QR adjunto. El problema es que, claro está, no es Amazon quien lo manda.
vía @newmediaguynyc en X
Aunque, por supuesto, si usas el QR, accederás a una web con el logo de Amazon y apariencia legítima, en la que te piden iniciar sesión, para luego introducir un código que ellos te proporcionan y así poder obtener 'tu premio'. El problema es que realmente el dominio no corresponde a una web de Amazon, y al intentar iniciar sesión, lo que estás haciendo es proporcionarle las credenciales de acceso a los estafadores.
Cómo evitar caer en estafas de quishing
- Desconfía de códigos QR no solicitados: Si recibes un código QR de forma inesperada o de una fuente no del todo fiable, es mejor evitar escanearlo. Los ciberdelincuentes a menudo confían en la curiosidad de las personas para atraerlas a sus trampas.
- Verifica la fuente: Antes de escanear un código QR, especialmente si está asociado con alguna operación financiera o el ingreso de información personal, verifica la autenticidad de la fuente. Y por 'fuente' no nos referimos únicamente al folleto o cartel, sino incluso a la pegatina donde viene incluido el QR. Piensa que no es nada difícil poner una pegatina con un código QR falso (a veces, incluso, tapando uno legítimo) en un cartel de un transitado monumento turístico, o en la carta de un restaurante.
- Utiliza un escáner de QRs con protección de seguridad: Algunas aplicaciones de escáner de códigos QR están equipadas con características de seguridad que pueden detectar enlaces maliciosos y advertirte antes de acceder a ellos. Asegúrate de usar una aplicación de escáner que ofrezca esta protección.
- Mantén actualizado tu software de seguridad: Asegúrate de que tu dispositivo móvil esté protegido con un software de seguridad actualizado, que pueda ofrecer una capa adicional de protección contra sitios web maliciosos y descargas dañinas.
- Verifica la URL: Si no has puesto en práctica los cuatro consejos anteriores, habrás recalado en una web que te estará pidiendo que introduzcas tus credenciales de algún servicio web, los datos de tu tarjeta o algo similar. Pero, ¿estás seguro de que el dominio se corresponde con el de la web que supuestamente estás visualizando?
Imagen | Marcos Merino mediante IA
Ver 0 comentarios