El quishing es una modalidad de phishing que utiliza códigos QR para dirigir a las víctimas a sitios maliciosos y robar sus credenciales.
Un reciente informe de Sophos, la empresa de ciberseguridad, alerta sobre una nueva y preocupante modalidad de ataque cibernético llamada quishing. Este método utiliza códigos QR en documentos y correos aparentemente legítimos para engañar a las personas y obtener sus credenciales corporativas. El quishing, una combinación de “QR” y “phishing”, destaca por su facilidad para burlar los sistemas de seguridad tradicionales y su rápida propagación en el ámbito corporativo.
Los códigos QR han ganado popularidad por su comodidad al ofrecer acceso directo a enlaces mediante la cámara de un teléfono. Sin embargo, su creciente uso los ha convertido en una herramienta perfecta para los atacantes, quienes aprovechan la falta de escrutinio de los usuarios al escanear estos códigos. A diferencia de las URLs, donde se puede revisar fácilmente el enlace antes de hacer clic, los códigos QR no permiten verificar la dirección oculta, lo que incrementa el riesgo de caer en una estafa.
¿Cómo funciona el quishing?
La mecánica de este ataque es simple pero efectiva. El atacante envía un correo electrónico que parece proceder de una fuente confiable, incluyendo un archivo PDF adjunto. Este archivo contiene un código QR que, al ser escaneado, redirige al usuario a una página de inicio de sesión falsa de servicios populares, como Microsoft 365 o plataformas de colaboración empresarial.
No dejes de leer: Previene estafas digitales y disfruta de una celebración segura con estos tips
Las víctimas ingresan sus credenciales, que son capturadas por los cibercriminales, incluyendo a veces el token de autenticación multifactor (MFA), exponiéndolos a un alto riesgo de robo de datos y accesos no autorizados.
Cómo protegerse del quishing
Sophos ha compartido una serie de recomendaciones para evitar caer en este tipo de ataques:
- Desconfía de archivos adjuntos con códigos QR. Si no esperas un documento que incluya uno, evita escanearlo.
- Verifica siempre el remitente. Los correos de phishing suelen proceder de direcciones que imitan a las legítimas.
- Evita ingresar credenciales desde enlaces QR. Si necesitas iniciar sesión, ingresa la dirección web directamente en el navegador.
- Mantén el software de seguridad actualizado en todos los dispositivos para detectar sitios maliciosos.
- Capacitación en ciberseguridad. La formación es clave para aprender a detectar señales de phishing.
A medida que los ciberataques se vuelven más sofisticados, es crucial que tanto usuarios como empresas fortalezcan su seguridad digital y mantengan una postura vigilante. La ciberseguridad exige atención a los detalles y una preparación constante para afrontar nuevas amenazas, como el quishing, que puede resultar devastador si no se controla a tiempo.
