En una industria cada vez más digitalizada, los ciberataques y violaciones de seguridad también se hacen más comunes. Es así que los piratas informáticos siempre encuentran nuevas formas de cometer fraudes, y un ejemplo reciente son los códigos QR, convirtiéndose en medios para ataques de pishing. Lo que conlleva un enorme riesgo para diferentes empresas.

Especialmente, aquellas especializadas en marketing y redes sociales, donde el uso de estos códigos suele ser más común. De esta manera, permitiéndole a los hackers redirigir a los usuarios a sitios webs maliciosos o engañarlos para robar información confidencial. Esto sumado a que son más difíciles de comprobar y bloquear que los enlaces de pishing convencionales.

 

El uso malintencionado de códigos QR en prácticas de pishing sigue en aumento

Los códigos QR no son una opción principal para el pishing. Debido a sus diferentes variables y limitantes al momento de interactuar con ellos. Por ejemplo, el que requieran de otro dispositivo, abriendo la posibilidad de que el usuario no tenga uno en ese momento. Además de que no muchas compañías incluyen esta modalidad dentro de sus correos oficiales, lo que no haría más que aumentar las sospechas.

A pesar de ello, la industria sufrió un aumento en el número de ataques de pishing mediante código QR. Tal como lo muestra una gráfica liberada por Kaspersky a finales de septiembre. Es así, como los piratas informáticos lograron acceder a las contraseñas y usuarios de compañías afiliadas a Microsoft. A través de una advertencia que afirmaba que sus contraseñas expirarían pronto.

“Las personas se sienten muy cómodas escaneando códigos QR, ni siquiera lo piensan dos veces. Y no comprenden completamente el riesgo asociado a un código malicioso” –afirmó Linn Freedman, socia del bufete de abogados de Providence, Robinsons and Cole–

Dicha tabla muestra las actividades del grupo, desde junio hasta agosto del 2023, alcanzando una cifre de 8.878 correos de pishing mediante códigos QR. Sin embargo, los primeros intentos de esta nueva modalidad se registraron a mediados de 2021. Específicamente, tras la tendencia de estos códigos en diversos restaurantes, consecuencia de las medidas de seguridad contra el COVID-19.

Must Know: QR Code Experimentation by Threat Actors

La nueva campaña de pishing que busca hacerse con credenciales de Microsoft

Esta campaña afecto a compañías de diferentes industrias, incluyendo una importante firma energética de EE.UU. Además de compañías pertenecientes a diferentes sectores como manufactura, seguros, tecnología y servicios financieros. Aquellas que fueron las principales victimas de los más de 1.000 correos electrónicos de pishing a través de códigos QR.

Además, se espera que la cifra aumente conforme pasen los meses. Teniendo en cuenta la facilidad de implementar esta práctica y llevarlas al correo de miles de personas. Sin mencionar que el código QR es capaz de eludir las puertas de seguridad de Microsoft y otros servicios de correo electrónico. Básicamente, introduciendo el pishing dentro de una imagen, que a su vez se encuentra en un archivo PNG o PDF.

Otro de los motivos que le brinda ventaja frente a otras prácticas de ciberataques, es que se necesita una tecnología especializada para analizar estos códigos QR y descubrir cualquier intento de pishing. Es decir que, a diferencia de los enlaces normales, es imposible saber a donde te llevará sin intentar escanearlo. Lo que abre la posibilidad para utilizarlos de diferentes maneras.

El riesgo de los códigos QR como intento de pishing continúa en ascenso

En cuanto a la campaña de pishing que amenaza a la industria, se registró un aumento de más del 2.400%, desde mayo del 2023. Asimismo, se espera que los casos aumenten en un 270% cada mes. Al menos hasta que se encuentra una mejor manera de garantizar la seguridad de lo usuarios y empresas, quienes podrían convertirse en víctimas de esta práctica.

Finalmente, se espera que las compañías promuevan campañas de concientización entre sus empleados e implementen mecanismo adaptados a esta nueva modalidad de ciberataque. Por su parte, se recomienda tratar los códigos QR con muchísima cautela, como si fueran un texto o un sitio web sospechoso, en pro de minimizar los riesgos relacionados con ataques de pishing.