No hay que fiarse de cualquier código QR que veamos por ahí. La estafa del Qrishing está creciendo a un peligroso ritmo

El 'Qrishing' es una de esas técnicas de estafa que lo tiene todo para suponer un verdadero problema. Como podemos anticipar por su nombre, estamos ante una variante del phishing basada en los códigos QR. Tan sencillo como engañarnos con códigos QR falsos, que nos derivan a una web maliciosa. En vez de un correo o un SMS falso, tenemos un código QR.

El agravante del Qrishing es que se aprovecha del uso que hacemos de los QR. Normalmente solemos escanear estos códigos para acceder a la carta de un restaurante o descargarnos una aplicación. Todo desde la cámara del móvil y de forma sencilla. El problema es que en este proceso solemos descargar e instalar cosas, además de en ocasiones registrarnos con nuestros datos o incluso pagar a través de este QR. Y aquí es donde corremos el riesgo de ser engañados.

Un ejemplo lo vimos el año pasado con los QR de BiciMAD. Al ir a coger una bici del servicio de bicicletas de Madrid había algo raro. Habían colocado una pegatina falsa con forma de QR encima del original. El problema es que si una persona lo escaneaba se llevaba a una plataforma de pago falsa. La solución es escanear este código con la aplicación oficial, porque si se hace desde fuera con cualquier lector de QR común te deriva a esa página falsa. 

Madrid no es la única ciudad donde el servicio de bicicletas ha sido atacado mediante el Qrishing. En Ámsterdam también se han encontrado con este problema. Es fácil de detectar si nos fijamos, pero muchas veces las prisas por coger este método de transporte nos pueden hacer caer. 

El Qrishing fue alertado por INCIBE en septiembre del año pasado, catalogándolo como una importancia alta. Uno de los riesgos añadidos es que esta estafa funciona incluso con el doble factor de autenticación, ya que "a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario".

Los consejos que dan desde el Instituto de Ciberseguridad y el Banco de España para evitar el Qrishing son los siguientes:

• No escanear códigos QR sin estar segura de su procedencia y su finalidad.
• Comprobar que el código QR no sea una pegatina colocada sobre el QR original.
• Activar la función de previsualización de la URL a la que redirecciona antes de acceder a ella.
• Sospechar si la URL no pertenece al dominio de la empresa o servicio.
• Hacer uso de analizadores de enlaces, como VirusTotal.
• Sospechar si solicita descargarse un archivo, especialmente si es .apk.
• En caso de duda, nunca facilitar datos personales ni bancarios.
• Mantener las herramientas de protección de los dispositivos activadas y actualizadas.

Aunque esta estafa todavía no es tan habitual como el phishing por correo o SMS, su crecimiento está siendo notable. Según un informe de la firma Barracuda, detectaron 740 ataques por Qrishing al día en junio y 1.100 al día en agosto. Según exponen desde ITBrew, distintos informes de ciberseguridad de firmas como Reliaquest o Abnormal Security apuntan a incrementos del 51% de un año a otro.

Como ocurre con el 'Juice jacking' y los puertos USB públicos, con los códigos QR también debemos llevar mucho cuidado. El Qrishing es una de las últimas formas que se está utilizando del phishing y previsiblemente haya casos en los que sea muy difícil diferenciar un código QR válido de uno falso. 

Imagen | Marielle Ursua

En Xataka | Cómo crear tu QR personalizado eligiendo su aspecto o añadiendo un logo