Un grupo de expertos en ciberseguridad ha observado un crecimiento del 587 por ciento de ataques ‘phishing’ a través del escaneo de códigos QR, lo que puede conducir a páginas de obtención de credenciales para posteriormente utilizarlos con distintos fines, como puede ser el robo de datos.
Las estafas de ‘phishing’ a través de códigos QR, también conocidas como ‘quishing’, utilizan estos códigos para compartir un enlace malicioso sin que el usuario se dé cuenta. Así, se trata de una técnica que va acompañada de ingeniería social para suplantar la identidad de compañías u organismos públicos.
CHECK POINT Y PHISING CON QR
En este sentido, un grupo de investigadores del grupo Check Point Research, perteneciente a la compañía proveedora de sistemas de ciberseguridad Check Point, ha advertido del peligro de los ataques ‘quishing’, que han crecido un 587% entre agosto y septiembre.
En el día a día, los usuarios utilizan los códigos QR para diversas acciones, desde ver las opciones de un menú en un restaurante hasta inscribirse en actividades o para acceder a un servicio.
De hecho, según el estudio ‘Mobile & Conectividad inteligente’, elaborado por la asociación de comunicación IAB Spain en el año 2021, más del 82,2% de los usuarios encuestados en España afirmaron que habían utilizado en alguna ocasión códigos QR. Frente a ello, tan solo un 2% ciento indicaron desconocer qué son estos códigos.
Es decir, la mayoría de los ciudadanos españoles utilizan los códigos QR y, por tanto, son susceptibles a sufrir un ataque de ‘quishing’.
EL 82,2% de los usuarios encuestados en España afirmaron que habían utilizado en alguna ocasión códigos QR
En este sentido, tal y como han explicado los investigadores de Check Point, aunque a primera vista los códigos QR parecen un sistema «inofensivo», se trata de una «excelente forma de ocultar intenciones maliciosas», ya que son utilizados por ciberdelincuentes para ocultar un enlace fraudulento.
Un ejemplo de estos ataques, tal y como ha mostrado Check Point en un comunicado, es el envío de códigos QR a través de correos electrónicos. En concreto, en el ataque compartido por los investigadores, se utiliza como señuelo un ‘email’ en el que se informa de que la autenticación multifactor (MFA) de Microsoft está a punto de caducar y anima al usuario a volver a autenticarse.
En este caso, los actores maliciosos introducen un código QR en el correo con un enlace fraudulento que conduce a una página de obtención de credenciales. Una vez el usuario haya escaneado dicho código QR, se abre una página de imitación a la página legítima de credenciales de Microsoft y, aunque su apariencia es similar, en realidad sirve para el robo de credenciales.
Según los expertos en ciberseguridad, es «muy fácil» crear un código QR, ya que existen multitud de páginas gratuitas que lo suelen generar de forma automática. De esta forma, los ciberdelincuentes pueden incluir cualquier enlace malicioso. Asimismo, en el ejemplo mostrado, también se ha de observar que, aunque el asunto indica que se trata de Microsoft, la dirección del remitente es distinta.
CÓMO PROTEGERSE DEL ‘QUISHING’
Con todo ello, desde Check Point han compartido algunas recomendaciones para combatir el ‘quishing’. Una de ellas es implementar un sistema de seguridad en el correo electrónico que utilice el reconocimiento óptico de caracteres (OCR) para identificar todos los posibles ataques.
Asimismo, los usuarios pueden aplicar un sistema que utilice inteligencia artificial, aprendizaje automático y procesamiento del lenguaje natural, para comprender la intención de los mensajes y detectar cuándo ‘email’ puede «utilizar un lenguaje de suplantación de identidad».
Tal y como ha explicado el director técnico de Check Point Software para España y Portugal, Eusebio Nieva, los métodos que han utilizado los investigadores para descubrir este tipo de ataques se basan en utilizar el analizador de códigos QR de su motor OCR.
De esta forma, se consigue identificar el código y recuperar la URL sin abrirla, ya que el motor OCR pasa la imagen del código QR a texto. Tras ello, se analiza la URL para verificar si se trata de un sitio web ilegítimo utilizando el NLP, que es capaz de identificar el lenguaje sospechoso y marcarlo como ‘phishing’.
«Los ciberdelincuentes siempre prueban nuevas tácticas y otras veces recuperan métodos antiguos. En ocasiones, se apropian de elementos legítimos como los códigos QR», ha sentenciado Nieva, al tiempo que ha detallado que la existencia de un código QR en el cuerpo del mensaje de correo electrónico «es un indicador de un ataque».