Los fraudes más comunes de quising

El entorno virtual, si bien representa un enorme campo de cultivo para avances tecnológicos de todo tipo, que permitan mejorar la calidad de vida de las personas, también es una puerta abierta a la delincuencia especializada. El medio online permite a los expertos el robo de información, datos personales y dinero.

Como norma general, los hackers, phishers, estafadores, crackers malware developers, script Kiddies, spammers… y otros tipos de delincuentes digitales, acceden a los últimos avances tecnológicos para buscarles las posibles fallas y volverlos útiles a sus actos vandálicos.

El uso de un código QR está cada vez más extendido en todo tipo de negocios, virtuales y físicos, no está libre de este tipo de individuos, amigos de lo ajeno, pero tremendamente inteligentes, preparados y perspicaces. En la actualidad, el término quishing ha entrado a formar parte como uno de los nuevos sistemas de engaños y fraudes virtuales más investigados por la UCO (Unidad Central Operativa), división de la Guardia Civil encargada de investigar delitos informáticos y cibernéticos.

¿Qué es el quishing?

Combinación de las palabras QR y Phishing (robo de información virtual, como contraseñas, números de tarjetas o cuentas bancarias… con la creación de webs falsas para engañar a usuarios), por lo que es fácil suponer que hace referencia a un tipo o sistema para estafar que utiliza los populares códigos QR.

La técnica utilizada es sumamente simple, aunque requiere cierto trabajo de diseño detrás. Los delincuentes que utilizan esta herramienta crean webs, a imagen y semejanza de sites auténticos, con el objetivo de que los usuarios no noten la diferencia y ofrezcan de forma voluntaria sus datos personales.

Los clientes de bancos, restaurantes, gasolineras, sitios webs suelen presentar códigos QR en sus negocios para facilitar el acceso a determinada información personal, con solo leerlos con un terminal móvil. El delincuente sustituye la información original por una propia que conducirá al usuario a una trampa en la que es posible que, confiado, ofrezca sus datos bancarios.

Dónde se dan la mayoría de casos de quishing

Según los datos aportados por la compañía española especializada en la creación de códigos QR, QRFY, se estima que más del 70% de las estafas contemporáneas se ejecutan mediante la técnica de quishing.

Estas pueden aparecer en las mencionadas estaciones de servicio, restaurantes y otros negocios de hostelería, oficinas de entidades bancarias, sitios webs de todo tipo… aunque, especialmente aparezcan sustituyendo páginas webs de las tiendas, tanto de barrio como de grandes superficies, así como en ecommerces, y en cualquier red social que invite a visitar una web, un stock, precios, servicios… por este medio. También es habitual que venga formando parte de un correo electrónico, un anuncio en una página web, un mensaje de texto…

Los QR se han extendido por todo tipo de negocios y empresas, siendo todos ellos objetivo claro de los ciberdelincuentes. Para estos profesionales es fácil crear códigos QR que tienen toda la apariencia de legitimidad y autenticidad, siendo, además, atractivos para ser escaneados.

El anzuelo que ofrecen y por el que los usuarios se van a sentir atraídos son supuestas ofertas, descuentos, regalos… Al escanearlos, la víctima será redirigida a un lugar en el que puede sufrir robos, suplantación de identidad, contraer un virus…

Formas de evitar el quishing

Los consejos que ofrece la empresa QRFY, experta en generación de códigos QR, según la cual, solo en el último año se han bloqueado más de 5000 amenazas derivadas del quishing en todo el mundo, para no convertirse en una víctima más de este tipo de actos vandálicos cada vez más abundantes, son los siguientes.

    1. Verificar la fuente

Siempre, en cualquier caso y bajo toda circunstancia, habrá que asegurar que el código es auténtico, verificando la fuente antes de proceder a su escaneo. Ante la más mínima duda, no se deberá escanear.

2.      Inspeccionar la URL

También habrá que confirmar la autenticidad de la URL como paso previo a presentar ningún tipo de información personal en la web. Solo, de este modo, se podrá estar seguro de que se está visitando una web completamente segura y legítima, es imprescindible, por tanto, que se muestre un candado y que el https contenga esa “ese” final.

3.      Usar aplicaciones de escaneo seguras

Otra buena forma de asegurar confidencialidad en el trasvase de información es que la aplicación utilizada cuando se hace uso del QR se haya descargado de un sitio web confiable, de empresas conocidas como App Store, Google Play, Aptoide, F-Droid, Microsoft Store (digital), Nokia Store, Samsung Galaxy Store…

4.      Actualizar la seguridad del dispositivo

Con las nuevas actualizaciones de seguridad y antivirus, además de configurar la autentificación en dos pasos, el uso de los códigos QR será más seguro.

5.      Desconfiar de ofertas demasiado buenas para ser verdad

Cuidado con aquellas ofertas sorprendentes, tan buenas que es difícil de creer o que caducan en breve. La inmensa mayoría pertenecen a fraudes o estafas.

6.      Educación continua

En cualquier caso, la formación en este sentido no se debe abandonar nunca, mantenerse informado y con una educación relacionada con la seguridad en el manejo de los dispositivos móviles y los avances tecnológicos es fundamental para estar precavidos ante nuevas fórmulas de estafa.

7.      La innovación

En relación al punto 6, es importante conocer elementos innovadores, como los códigos QR dinámicos de QRFY. Estos sistemas utilizan una herramienta antifraude que escanea constantemente las URL de destino y protege a los usuarios, bloqueando el acceso al código QR, alcanzando un nivel de seguridad mucho más elevado.

Artículo escrito por Israel Guerra, redactor de Unancor.

¡Suscríbete a nuestra newsletter! Sigue a MarketingDirecto.com en WhatsApp