Quishing (phishing con códigos QR falsos)

El quishing (o phishing con códigos QR falsos) es una amenaza cibernética en rápida evolución que aprovecha la comodidad de los códigos QR para engañar a los usuarios y comprometer su seguridad. Al integrar enlaces maliciosos en códigos QR aparentemente inofensivos, los atacantes eluden los filtros de correo electrónico tradicionales y dirigen a las víctimas a sitios web fraudulentos o a descargas de malware. Esta táctica de ingeniería social se aprovecha del uso generalizado de los códigos QR en las operaciones comerciales, lo que hace que las organizaciones sean vulnerables tanto a través de los dispositivos corporativos como de los personales.

El quishing es un ataque de ingeniería social en el que los ciberdelincuentes se aprovechan de los códigos QR, códigos de barras bidimensionales que almacenan datos tanto en horizontal como en vertical, para redirigir a las víctimas a sitios web maliciosos o activar descargas de malware. A diferencia del phishing tradicional, que se basa en enlaces de texto, el quishing utiliza un código QR falso para eludir los filtros de seguridad del correo electrónico y aprovecharse de la confianza de los usuarios en esta tecnología tan extendida.

Los códigos QR son matrices legibles por máquinas capaces de almacenar hasta 7089 caracteres numéricos o URL, accesibles a través de las cámaras de los teléfonos inteligentes o de aplicaciones de escaneo. Su diseño incluye funciones de corrección de errores, lo que les permite funcionar incluso si están parcialmente dañados. Si bien sus usos legítimos van desde los pagos sin contacto hasta las campañas de marketing, su opacidad (los usuarios no pueden previsualizar la URL incrustada) los hace ideales para su explotación.

Los perpetradores de los ataques de quishing siguen un procedimiento sistemático:

1. Creación de códigos QR maliciosos: Herramientas gratuitas online generan códigos QR vinculados a sitios de phishing o dominios que alojan malware.
2. Distribución: Los códigos se incrustan en correos electrónicos de phishing, facturas falsas, carteles públicos, menús de restaurantes o incluso se superponen a códigos QR legítimos.
3. Señuelos de ingeniería social: Los mensajes instan a realizar una acción inmediata, como “Escanee este código, para desbloquear un descuento” o “Verifique su cuenta”.
4. Explotación: Al escanear, se redirige a los usuarios a páginas de inicio de sesión falsas, recolectores de credenciales o descargas de malware. Por ejemplo, un ataque de 2023 imitaba facturas corporativas y dirigía a los empleados a portales de pago falsos.

Al combinar vectores de ataque físicos y digitales, el quishing supone una amenaza polifacética tanto para las organizaciones como para los individuos.

Los ataques de quishing prosperan en la intersección entre los espacios físicos y digitales, aprovechándose tanto la curiosidad humana como los flujos de trabajo de las organizaciones. Los ciberdelincuentes despliegan estratégicamente códigos QR maliciosos en entornos de alto tráfico o de gran confianza para maximizar las tasas de éxito. Entre los objetivos clave se incluyen:

• Recintos públicos: Los códigos QR manipulados aparecen en menús de restaurantes, parquímetros, carteles de tiendas minoristas o folletos de eventos, a menudo prometiendo descuentos, acceso a wifi o contenido exclusivo.
• Correos electrónicos/SMS de phishing: Los atacantes se hacen pasar por bancos, agencias gubernamentales o proveedores corporativos, incrustando códigos QR en facturas falsas, alertas de “verificación de cuenta” o notificaciones de envío.
• Etiquetas de productos: Los agentes maliciosos sustituyen los códigos QR legítimos del embalaje de los productos por enlaces a sitios web falsos o descargas de malware.
• Documentos compartidos: Códigos QR ocultos en archivos PDF o hojas de cálculo internas, disfrazados de encuestas o materiales de formación.
• Sectores objetivo: Energía, fabricación, seguros y servicios financieros, sectores con cadenas de suministro complejas y transacciones de alto valor.

Por ejemplo, una campaña de 2024 se dirigió a cadenas de restaurantes superponiendo códigos QR maliciosos en los menús impresos, redirigiendo a los comensales a páginas de recopilación de credenciales que imitaban programas de fidelización.

El quishing se aprovecha de la confianza que los usuarios depositan en los códigos QR, pero las organizaciones pueden mitigar los riesgos combinando la formación de los usuarios, las medidas de seguridad técnicas y las políticas proactivas. A continuación, se presentan las estrategias clave para defenderse de estas amenazas híbridas.

Mejores prácticas de vigilancia del usuario

• Verifique el origen de los códigos QR: Confirme la legitimidad con el remitente a través de un canal independiente (por ejemplo, una llamada telefónica) antes de escanear códigos en correos electrónicos, mensajes de texto o espacios públicos.
• Inspeccione las URL que aparecen en la vista previa de los escáneres: compruebe si hay cifrado HTTPS, dominios mal escritos (por ejemplo, “arnazon.com”) o enlaces acortados sospechosos.
• Evite compartir datos confidenciales: Nunca introduzca credenciales o datos de pago después de escanear un código QR a menos que se haya confirmado la autenticidad del sitio.
• Utilice aplicaciones de escáner QR seguras: Opte por aplicaciones con antivirus integrado que marquen los enlaces maliciosos.

Medidas de seguridad organizativas

• Simulaciones de phishing: Realice simulacros periódicos de ataques de quishing para comprobar la tasa de respuesta de los empleados e identificar lagunas en su concienciación.
• Autenticación multifactor (MFA): Imponer la MFA en todos los sistemas críticos para neutralizar el impacto de las credenciales robadas con phishing de QR.
• Actualizaciones de seguridad del correo electrónico: Implemente los protocolos DMARC, SPF y DKIM para bloquear los correos electrónicos falsificados que contengan códigos QR falsos o maliciosos.
• Protección de endpoint: Instale herramientas antimalware con análisis en tiempo real para detectar y poner en cuarentena las cargas útiles entregadas a través de enlaces de quishing.
• Arquitectura de confianza cero: Restrinja el acceso a la red a usuarios y dispositivos verificados, limitando el movimiento lateral si se produce una filtración.

Medidas de seguridad basadas en políticas

• Acceso con privilegios mínimos: Restrinja los permisos de los empleados para minimizar los daños causados por cuentas comprometidas.
• Directrices de uso de códigos QR: Prohíba el escaneo de códigos de fuentes no fiables en las comunicaciones corporativas.
• Códigos físicos a prueba de manipulaciones: Audite los códigos QR visibles al público (por ejemplo, carteles, etiquetas de productos) en busca de signos de ataques de superposición.

Prioridades de formación

• Detección de la ingeniería social: Forme a los equipos para que reconozcan señuelos basados en la urgencia, como “Escanee para evitar la suspensión de la cuenta”.
• Protocolos de notificación: Establezcan canales claros para que los empleados puedan señalar códigos sospechosos sin temor a represalias.

Al integrar estas prácticas en los marcos de ciberseguridad, las empresas pueden reducir el éxito del quishing y mantener la agilidad operativa.

La tecnología es fundamental para contrarrestar los ataques de quishing, ya que combina herramientas de detección avanzadas con estrategias organizativas proactivas para neutralizar las amenazas basadas en códigos QR. A continuación, se presentan las principales defensas tecnológicas y procedimentales que pueden implementar las empresas.

Soluciones de seguridad

• Motores de análisis de códigos QR: Las soluciones de seguridad de correo electrónico especializadas utilizan modelos de visión artificial para escanear los correos electrónicos en busca de códigos QR, decodificar las URL incrustadas y evaluar su riesgo mediante el aprendizaje automático entrenado con décadas de datos de phishing. Por ejemplo, Cloudflare procesa los códigos QR en tiempo real, rastrea los enlaces decodificados y los compara con bases de datos de amenazas para bloquear el contenido malicioso.
• Análisis en entorno aislado (Sandboxing) online: Plataformas como Proofpoint extraen los códigos QR de los archivos adjuntos (por ejemplo, PDF) y simulan interacciones con URL en entornos aislados para detectar malware o recolectores de credenciales antes de la entrega. Según Microsoft, este escaneo previo a la entrega bloqueó alrededor de 1,5 millones de intentos de phishing con QR diarios en 2024.
• Detección de amenazas basada en IA: Microsoft Defender para Office 365 emplea la extracción de imágenes para identificar códigos QR en correos electrónicos, analiza las estructuras de las URL mediante ML y bloquea los enlaces sospechosos utilizando reglas heurísticas.

“A los proveedores de seguridad de correo electrónico tradicionales y a la mayoría de las herramientas de seguridad de correo electrónico basadas en API les resulta muy difícil detectar estos ataques”, escribe Tim Bedard, director de IBM Expert Labs Sales. “Esto se debe a que estas herramientas analizan los mensajes de correo electrónico en busca de enlaces sospechosos conocidos, pero no analizan las imágenes en busca de enlaces ocultos dentro de imágenes de códigos QR maliciosos”.

Medidas organizativas

• Generadores de códigos QR seguros: Utilice herramientas aprobadas por la empresa con fechas de caducidad incrustables y listas de dominios permitidos para garantizar que los códigos solo enlacen con URL verificadas.
• Segmentación de la red: Aísle los dispositivos IoT y las redes de invitados de los sistemas críticos para contener las filtraciones provocadas por malware relacionado con el quishing.
• Seguridad de la API para integraciones externas: Supervise los flujos de trabajo basados en códigos QR (por ejemplo, portales de proveedores, sistemas de inventario) en busca de llamadas API anómalas que indiquen un uso indebido de las credenciales.
• Firmas digitales para códigos QR: Implemente el etiquetado criptográfico (por ejemplo, los estándares QR-Code 2.0) para verificar la autenticidad y detectar códigos manipulados en espacios físicos.
• Búsqueda de amenazas con UEBA: Implemente el análisis del comportamiento de usuarios y entidades para señalar actividades inusuales tras el escaneo, como exportaciones repentinas de datos desde el almacenamiento en la nube.

Bedard anima a los líderes a “defender su organización de los correos electrónicos enviados por proveedores y socios potencialmente comprometidos. Proofpoint Supplier Threat Protection utiliza inteligencia artificial avanzada y la información sobre amenazas más reciente para detectar las cuentas de proveedores que han sido comprometidas y priorizar aquellas que deben investigarse”.

Formación y vigilancia humana

“Sus empleados y clientes son su primera línea de defensa. Asegúrese de que reciben formación en materia de seguridad sobre todo tipo de ataques de phishing”, añade Bedard.

• Simulaciones de ciberseguridad: La herramienta de simulación de phishing de Proofpoint realiza simulacros de phishing adaptativos con códigos QR, adaptando los escenarios a las funciones y los niveles de habilidad de los empleados.
• Aprendizaje interactivo: Las plataformas de formación en concienciación sobre seguridad redirigen a los empleados que no superan las simulaciones a microformaciones en las que se explican las señales de alerta de los códigos QR, como URL que no coinciden o señuelos que apelan a la urgencia.
• Cultura de denuncia: Establezca canales sencillos para que los empleados puedan marcar códigos sospechosos. La integración de Proofpoint del análisis contextual basado en IA con los informes de los usuarios ayuda a identificar nuevos patrones de ataque.

Al combinar herramientas de detección de vanguardia con una formación rigurosa, las organizaciones pueden adelantarse a las tácticas en constante evolución del quishing, al tiempo que fomentan una mentalidad centrada en la seguridad en todos los equipos.

Proofpoint ofrece protección integral contra el quishing mediante la detección avanzada de amenazas, el sandboxing previo a la entrega y la formación en seguridad centrada en el usuario. Su motor de escaneo de códigos QR patentado descodifica las URL incrustadas en los correos electrónicos y los archivos adjuntos, y las analiza en tiempo real mediante inteligencia artificial basada en el comportamiento y la información sobre amenazas de más de 230.000 clientes en todo el mundo. El sandboxing previo a la entrega aísla los enlaces sospechosos y bloquea los códigos QR maliciosos antes de que lleguen a las bandejas de entrada, lo que supone una ventaja fundamental frente a las soluciones posteriores a la entrega.

Para las empresas, la formación en concienciación sobre seguridad de Proofpoint (Security Awareness Training) integra simulaciones de quishing y la inscripción automática de los usuarios vulnerables en un aprendizaje adaptativo para combatir tácticas en constante evolución, como los recolectores de credenciales basados en códigos QR. Las defensas multicapa, que incluyen NexusAI y el sandboxing de URL, neutralizan el 99,99 % de las amenazas por correo electrónico, mientras que integraciones como PhishAlarm permiten a los empleados informar de códigos sospechosos sin problemas. Al combinar el análisis a la velocidad de una máquina con la vigilancia humana, Proofpoint protege a las organizaciones de los riesgos híbridos del quishing, protegiendo al 87 % de las empresas de la lista Fortune 100. Póngase en contacto con Proofpoint para obtener más información.