Elido
7 min de lecturaCumplimiento

¿Son seguros los códigos QR? El quishing y cómo mantenerte protegido

Los códigos QR son seguros de escanear - el riesgo está en a dónde llevan. Cómo funciona el quishing, cómo detectar un código QR malicioso y qué hacer si escaneaste uno falso.

Sasha Ehrlich
Compliance · EU residency
Un código QR junto a un triángulo de advertencia y un escudo, que muestra que escanear es seguro pero debes comprobar adónde lleva un código QR para evitar el quishing, en la paleta de marca de Elido

Los códigos QR son seguros de escanear. El código en sí no es más que un enlace codificado, y abrirlo no es más peligroso que teclear a mano la misma dirección web. El riesgo real vive en a dónde te envía el código - y ahí es donde operan los atacantes. Un código QR malicioso puede apuntar a una página de inicio de sesión falsificada creada para robar tu contraseña, o a una descarga que te pide instalar algo dañino. Así que la respuesta honesta a "¿son seguros los códigos QR?" es: el escaneo es seguro, el destino es lo que tienes que comprobar.

El ataque ahora tiene nombre - quishing, una mezcla de "QR" y "phishing" - y ha crecido porque esquiva dos defensas a la vez. Un código QR oculta su destino hasta después de escanear, así que el viejo consejo de inspeccionar un enlace antes de hacer clic es más difícil de seguir. Y como un código es una imagen, se cuela más allá de muchos filtros de correo que solo leen texto y enlaces. Investigadores gubernamentales y de seguridad han señalado el auge, y la técnica ahora aparece en todo, desde señales falsas de parquímetros hasta facturas.

Yo veo esto desde un puesto de cumplimiento, donde la pregunta suele ser "¿podemos poner un código QR en algo de cara al cliente sin crear riesgo?". La respuesta es sí, con hábitos. Esta guía cubre cómo funciona el quishing, cómo leer un código antes de confiar en él, y qué hacer si ya escaneaste uno malo. Si estás creando códigos en lugar de escanearlos, cómo crear un código QR es el lugar por donde empezar.

Cómo funciona el quishing#

Un ataque de quishing tiene la misma anatomía que cualquier intento de phishing, con el enlace cambiado por un código. Entender los pasos hace obvias las señales de advertencia.

El atacante produce un código QR que se resuelve a un destino fraudulento - un portal de inicio de sesión falso, una página de pago o un aviso de malware. Lo coloca donde la gente escanea sin pensar: un correo que parece ser de TI o de un banco, una pegatina pegada sobre un código real en un cartel o parquímetro, un volante o un paquete inesperado. La víctima escanea con su teléfono, ve una página que imita algo familiar, e introduce credenciales o datos de tarjeta. Los datos van al atacante.

Lo que lo hace eficaz es el ocultamiento. Con un enlace de phishing normal, una persona cuidadosa puede pasar el cursor por encima y leer la URL primero. Un código QR no te muestra nada hasta que ya te has comprometido a escanear, y en una pantalla pequeña la barra de direcciones es fácil de ignorar. El análisis de Kaspersky sobre el quishing plantea lo mismo: el destino oculto es toda la ventaja. El truco relacionado del lado del servidor que permite torcer cualquier redirect hacia un sitio malicioso es el tema de las vulnerabilidades de open redirect, y conviene saber que ambos suelen trabajar juntos.

Un ataque de quishing mostrado por etapas: el atacante crea un código QR malicioso, lo coloca como una pegatina sobre uno real, la víctima escanea y aterriza en una página de inicio de sesión falsa que recolecta credenciales

Señales de advertencia de un código QR malicioso#

Puedes atrapar la mayoría de los intentos de quishing antes de que haya daño leyendo el contexto y la previsualización juntos. Unas pocas señales hacen la mayor parte del trabajo.

  • No lo esperabas. Un código que llega sin solicitarlo - en un correo, un mensaje, una carta o un paquete entregado que no pediste - merece sospecha antes que nada.
  • Es una pegatina. Un código físico que parece añadido sobre el arte existente, especialmente en parquímetros, carteles y menús, es el truco real más común con diferencia.
  • Fabrica urgencia. Una redacción como "escanea de inmediato para evitar la suspensión" o "verifica ahora" está diseñada para empujarte más allá del momento en que normalmente comprobarías.
  • La previsualización se ve mal. Tras escanear, la mayoría de los teléfonos muestran la URL antes de abrirla. Las faltas de ortografía, un dominio desconocido, un dominio que no coincide con la marca, o un acortador que no puedes resolver son todas razones para detenerte.
  • Exige credenciales o pago de inmediato. Un destino legítimo rara vez te pide iniciar sesión o pagar antes de mostrarte nada. Uno falso empieza por ahí.

Tanto la orientación de la Comisión Federal de Comercio de EE. UU. como el consejo del NCSC del Reino Unido sobre mensajes sospechosos se reducen al mismo instinto: si el código y su contexto no te parecen ambos correctos, no actúes sobre lo que abre.

Lista de verificación de dos columnas: señales de alerta de un código QR malicioso como códigos inesperados, pegatinas, redacción urgente y dominios que no coinciden, junto a hábitos seguros como previsualizar la URL y nunca introducir secretos a los que un código te empujó

Cómo escanear códigos QR de forma segura#

El escaneo seguro es un conjunto corto de hábitos, no una aplicación especial. Ninguno de ellos te frena mucho una vez que se vuelven rutina.

  1. Usa la cámara integrada de tu teléfono o un escáner que previsualice la URL. Lee esa previsualización antes de abrirla, cada vez.
  2. Comprueba el dominio frente a quien crees que envió el código. La marca al principio de la dirección debería coincidir con la marca del cartel, el correo o el menú.
  3. Desconfía de los códigos que se resuelven a un acortador que no puedes expandir - y a la inversa, la confianza es más fácil cuando un código apunta a un dominio de marca claro que reconoces.
  4. Nunca introduzcas contraseñas, números de tarjeta ni códigos de un solo uso en una página a la que llegaste únicamente porque un código QR te lo dijo. En su lugar, navega tú mismo hasta el sitio.

Ese tercer punto corta en ambos sentidos, y es donde quienes crean los códigos pueden ayudar a quienes los escanean. Un enlace corto de marca en un dominio que un cliente reconoce es mucho más fácil de confiar que uno opaco, lo que en parte es por qué darle marca a un código es una función de seguridad y no solo de diseño - mira diseño de códigos QR de marca.

Si publicas códigos QR de cara al cliente y quieres que se lean como fiables - tu dominio, tu marca, un destino que puedes reapuntar si alguna vez es objeto de abuso - genera códigos QR rastreables con Elido para que tu audiencia vea un nombre que conoce en lugar de una cadena aleatoria.

Si ya escaneaste uno malo#

Escanear y previsualizar un código malicioso casi no hace nada por sí solo, así que si te detuviste en la previsualización, es muy probable que estés bien - ciérralo y sigue. La exposición viene de los siguientes pasos, y si los diste, muévete rápido.

Cierra la página y no introduzcas nada más. Si ya introdujiste una contraseña, cámbiala en el sitio real y activa la autenticación de dos factores para esa cuenta. Si introdujiste datos de tarjeta o bancarios, llama a tu banco. Si instalaste o descargaste algo, ejecuta un análisis de seguridad y elimínalo. Luego repórtalo - en EE. UU. a través de la FTC, y en otros lugares a través de tu organismo nacional de fraude o ciberdelincuencia - y mantén un ojo en las cuentas afectadas durante unas semanas, porque las credenciales robadas suelen usarse más tarde en lugar de de inmediato. La postura más amplia para examinar cualquier destino corto o acortado está en ¿son seguros los acortadores de URL? y en la lista de verificación de seguridad del acortador de URL.

Vale la pena conservar los códigos QR - con hábitos#

Nada de esto es una razón para abandonar los códigos QR. Son un puente genuinamente útil de lo físico a lo digital, y el formato en sí no es el problema - lo es la ingeniería social que lo envuelve. La misma lógica se aplica del lado de la publicación: un código que controlas, apuntas a tu propio dominio y puedes medir y reapuntar es más seguro para tu audiencia que uno estático desechable, porque puedes reaccionar si un destino se ve alguna vez comprometido.

Para las organizaciones, la visión de cumplimiento es que un código QR no es más que otro canal que lleva un enlace, y las mismas reglas de minimización de datos y de residencia se aplican a aquello a lo que lleve - el detalle está en GDPR para acortadores de URL y en nuestra página de confianza. Escanea con una previsualización, comprueba el dominio, nunca introduzcas secretos en una página a la que un código te empujó, y los códigos QR siguen siendo lo que se suponía que debían ser: una comodidad, no un riesgo.

Relacionado en el blog#

Prueba Elido

Pega una URL, obtén un enlace corto

Sin registro. El enlace vive 30 días. Crea una cuenta para conservarlo.

Gratis, sin registro · 2 por día

Prueba Elido

Acortador de URL alojado en la UE: dominios personalizados, análisis profundo y API abierta. Plan gratuito - sin tarjeta de crédito.

Etiquetas
are qr codes safe
quishing
qr code phishing
qr code scam
malicious qr code
qr code security

Seguir leyendo