QRishing es una palabra que designa un concepto que ha surgido con la evolución reciente de los códigos QR. Un código QR (del inglés Quick Response code, «código de respuesta rápida») es a su vez la evolución del famoso código de barras.
Se trata de un módulo para almacenar información en una matriz de puntos o en un código de barras bidimensional. La matriz se lee en el dispositivo móvil por un lector específico (lector de QR) y de forma inmediata nos lleva a una aplicación en Internet, un mapa de localización, un correo electrónico, una página web o un perfil en una red social.
Fue creado en 1994 y se ha popularizado de forma exponencial con la llegada de la pandemia, donde, por ejemplo, todas las cartas de los bares y restaurantes utilizaban códigos QR en sustitución de las cartas físicas, prohibidas durante los peores momentos de la pandemia.
Un engaño a través de QRs
El QRishing, o lo que es lo mismo, phishing a través de códigos QR, es la evolución de una forma de engaño, treta, timo. El phishing no para de reinventarse, demostrando que es capaz de adaptarse con éxito a cualquier canal: correo electrónico, teléfono, SMS y, ahora, códigos QR.
Ocurre el QRishing cuando al escanear el código, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos (cometer otros ataques, suplantar la identidad, suscribir a la víctima a servicios de pago…).
Los ciberdelincuentes se aprovechan de la confianza de los usuarios, de la práctica masiva de escanearlos y de la dificultad de distinguir un código QR legítimo de uno malicioso. Para hacer caer en la trampa a la víctima recurren a técnicas de ingeniería social.
10 consejos para evitar el QRishing
- Aplicar el sentido común, siempre.
- Desconfiar de todo y de todos, siempre.
- En consecuencia, evitar páginas, enlaces y aplicaciones desconocidas.
- Revisa siempre los códigos para comprobar que n han sido suplantados. Sobre todo si tienes un comercio o restaurante. Comprueba siempre la dirección a la que enlaza tu QR.
- Recuerda que en los códigos QR no suele ser muy normal que acrten las direcciones web. Al acortarse se puede trampear y engañar al no poder leer la dirección web.
- No publiques tu QR en papel, cartelerías o cartas. Pueden manipularse pegando un código encima del original.
- Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
- Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo. Así se puede revisar la dirección antes de acceder al contenido o introducir información.
- En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado para comprador y vendedor.
- Si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante parar a pensar un momento si el contexto lo requiere.