Cómo detectar códigos QR maliciosos antes de caer en la trampa

Freepik/Flaticon

Los atacantes han perfeccionado el denominado quising, una técnica de phishing mediante códigos QR, aunque hay herramientas para detectarlo a tiempo.

Los ciberdelincuentes han desarrollado un nuevo tipo de ataque para robar información de usuarios, el método conocido como quishing, una técnica que podría definirse como el phishing mediante códigos QR.

Este tipo de símbolos se han integrado en todos los rincones del mundo digital, aunque con un elemento característico y diferenciador: podrías encontrarte un código de este tipo pegado a una farola, marquesina u otro soporte físico.

Desde la pandemia, por ejemplo, y para garantizar la salud pública, prácticamente todos los sitios de restauración hacen uso de estos códigos para poder acceder a su carta online, aunque no todas las webs han sido diseñadas de acuerdo a los principios de seguridad ni todos los sitios son legítimos.

Según los datos identificados por la Unidad 42 de la compañía especializada Palo Alto Networks, desde finales de 2024 numerosos documentos relacionados con correos de phishing, como los PDF, han utilizado códigos QR maliciosos para enmascarar la dirección final.

Por eso, lo más recomendable si recibes un correo electrónico con un código QR incrustado es que nunca lo escanees con la cámara de tu móvil, ya que podría derivar en el redireccionamiento a urls supuestamente fiables que robarán tus datos personales.

No obstante, hay varias soluciones para evitar el quishing. Aquí te contamos qué puedes usar para que no se hagan con tus credenciales.

El quishing se cuela en Microsoft, Google y Cloudflare

Existen códigos QR que no tendrían que preocuparte casi nunca, como los que se usan para conectar diferentes dispositivos inteligentes, como televisiones, altavoces, etc., sobre todo si llegan en el mismo manual o guía de configuración.

Sin embargo, hay otros que parecen legítimos, incluso con direcciones de Google, y que sí deberían preocuparte. Esto se debe a que los atacantes ofuscan este tipo de amenazas en enlaces que usan múltiples redirecciones.

Como ejemplo de su investigación, la Unidad 42 de Palo Alto Networks muestra el siguiente dominio web y la estructura:

Si te fijas, los atacantes han incluido información que no sirve para nada en la dirección, con caracteres aleatorios que confunden a Google, pero que acaban redireccionando a la última parte del mismo, el sitio fraudulento.

Según Google, "los redireccionadores abiertos te llevan desde una URL de Google a otro sitio web elegido por quien creó el enlace", mientras que muchos usuarios simplemente revisan la primera parte de la dirección que, a priori, parece fiable, con protocolo HTTPS y dominio de Google.

Curiosamente, ni siquiera los diferentes métodos de verificación humana se salvan, como los captchas o Cloudflare Turnstile, ya que los atacantes también utilizan estos para hacerse pasar por legítimos, incluso en páginas de inicio de sesión de Microsoft 365.

A continuación, puedes ver un ejemplo de phishing mediante verificación para recopilar credenciales, a través de la plataforma Sharepoint para iniciar sesión en tu cuenta de Microsoft:

Como aparece en las imágenes capturadas por la Unidad 42, los atacantes son capaces de personalizar e individualizar este tipo de ataques, incluso añadiendo la dirección de correo real de la víctima en cuestión, por lo que podrían llevar a confusión.

Ante el perfeccionamiento de este tipo de ataques, lo cierto es que para un usuario medio podría ser realmente complicado identificar si un sitio web es fraudulento simplemente revisando el enlace –que en algunos casos se muestra acortado–.

Pero no te preocupes, ya que existen herramientas que te alertarán de cualquier código QR malicioso antes de que caigas en una trampa irreversible.

Cómo detectar un código QR fraudulento antes de escanearlo

Más allá de las aplicaciones para esto, el Instituto Nacional de Ciberseguridad (INCIBE) ofrece varias recomendaciones, como no escanear códigos QR a la ligera, no proporcionar información personal o bancaria sin estar seguro de la autenticidad del sitio o activar la previsualización de la URL antes del acceso.

Pero si, a pesar de esto, continúas desconfiando del código QR, la mejor herramienta se llama RevealQR, a la que puedes acceder mediante este enlace. Para usarla, necesitarás registrarte con tu correo, aunque es totalmente gratuita.

El funcionamiento es realmente sencillo. Cuando te topes con un código QR, toma una foto del mismo sin acceder al enlace que aparece al pasar la cámara del móvil por este o, directamente, realizar una captura de pantalla.

En la opción de Examinar archivo, sube la imagen del código QR y RevealQR traducirá este en el enlace al que lleva para analizarlo mediante VirusTotal, es decir, con más de 80 herramientas para la detección de malware, además de diferentes antivirus del mercado.

De esta forma, no solo verás el enlace de redireccionamiento completo, sino que también conocerás el análisis detallado de todos estos antivirus, por si no eres capaz de reconocer un sitio fraudulento dentro de la URL.

conclusión

Otros artículos interesantes: