Manténgase informado con actualizaciones gratuitas
Simplemente regístrate en Seguridad cibernética myFT Digest: entregado directamente a su bandeja de entrada.
Los bancos y los reguladores advierten que las estafas de phishing con códigos QR, también conocidas como “quishing”, están eludiendo las defensas cibernéticas corporativas y engañando cada vez más a los clientes para que revelen sus datos financieros.
Prestamistas como Santander, HSBC y TSB se han unido al Centro Nacional de Seguridad Cibernética del Reino Unido y a la Comisión Federal de Comercio de EE. UU., entre otros, para expresar su preocupación por el aumento de códigos QR fraudulentos que se utilizan en sofisticadas campañas de fraude.
El nuevo tipo de estafa por correo electrónico a menudo implica que los delincuentes envíen códigos QR en archivos PDF adjuntos. Los expertos dijeron que la estrategia es eficaz porque los mensajes con frecuencia pasan a través de los filtros de seguridad cibernética corporativa, software que normalmente detecta enlaces a sitios web maliciosos, pero que a menudo no analiza las imágenes contenidas en los archivos adjuntos.
“El atractivo para los delincuentes es que están pasando por alto todos los [cyber security] capacitación y también está pasando por alto nuestros productos”, afirmó Chester Wisniewski, asesor principal de la empresa de software de seguridad Sophos.
Los investigadores y administradores de fraude dijeron que era difícil estimar los costos de “quishing”, ya que las empresas de seguridad cibernética y los bancos no suelen registrar el formato de los enlaces maliciosos y porque esos correos electrónicos pueden ser sólo un elemento en un ataque cibernético más amplio.
Pero una investigación de IBM encontró que los ataques de “phishing” –que involucran a estafadores que envían correos electrónicos dirigidos con enlaces maliciosos– son cada vez más costosos para las empresas, y el costo promedio global de una filtración de datos aumentará casi un 10 por ciento a 4,9 millones de dólares en 2024.
Los códigos QR contienen datos, como URL o información de pago, en código binario. Inventados por la empresa japonesa Denso Wave en 1994 como una herramienta para rastrear piezas de automóviles, estos códigos están diseñados para que las máquinas, especialmente los teléfonos inteligentes, puedan leerlos rápidamente, pero generalmente son ilegibles para los humanos.
Aunque la mayoría de los teléfonos inteligentes muestran una breve vista previa de la URL contenida en un código QR escaneado, los investigadores han dicho que esta ventana emergente generalmente no es suficiente para que los usuarios puedan detectar que un enlace podría ser fraudulento.
“Estos ataques aprovechan el hecho de que los códigos QR, por naturaleza, son difíciles de interpretar visualmente, por lo que las víctimas a menudo no saben a dónde se dirigen hasta que es demasiado tarde”, afirmó Amir Sadon, director de investigación de seguridad cibernética. consultoría Sygnia.
Los bancos dijeron que la prevalencia de este tipo de estafa se ha acelerado desde que los códigos QR ganaron popularidad durante la pandemia de Covid-19, cuando se usaban para mostrar de todo, desde pasaportes de vacunas hasta menús de restaurantes. “Definitivamente es una tendencia creciente en términos de la cantidad de informes que estamos viendo”, dijo Steph Harrison, gerente senior de operaciones de fraude en TSB.
Una encuesta realizada en mayo por la empresa de software de seguridad McAfee encontró que más de una quinta parte de todas las estafas en línea en el Reino Unido probablemente se originaron a partir de códigos QR. Los informes de estafas con códigos QR en el Reino Unido se duplicaron con creces en el año hasta agosto de 2024, según Action Fraud.
La Comisión Federal de Comercio de EE. UU., así como varias autoridades locales en todo el Reino Unido, también advirtieron este año sobre un tipo específico de estafa de “quishing” dirigida a los conductores, incluidos casos en los que se han colocado pegatinas que dirigen a los usuarios a sitios fraudulentos encima de códigos QR legítimos. Solía pagar el estacionamiento.
Estos enlaces pueden dirigir a los usuarios a un sitio web incorrecto y pedirles que introduzcan sus datos, o llevarlos a descargar malware. Peor aún, dijo Harrison, “también te podrían multar por no tener una multa de estacionamiento”.
Las víctimas también han denunciado la colocación de códigos QR fraudulentos sobre códigos legítimos en puntos de carga de vehículos eléctricos, estaciones de tren y mesas de restaurantes.
Pero los investigadores dijeron que las estafas “quishing” se implementan más comúnmente en los correos electrónicos, una amenaza que ha presionado a los proveedores de seguridad corporativa para que adapten sus defensas en línea.
“Hoy casi no [cyber security] Los productos se miran a través de los archivos adjuntos”, afirmó Wisniewski. “Si esto continúa siendo un problema, supongo que la industria tendrá que avanzar allí, pero ralentizará la entrega de correos electrónicos y también encarecerá las cosas”.