"Aquí es donde comienza su pesadilla”. ¿Qué peligro se esconde detrás de esta afirmación de Julián Murguía, experto en ciberprivacidad y ciberseguridad? La respuesta puede encontrarse en una acción cotidiana: escanear un código QR. Ya sea en un restaurante, en un taxi, en una tienda o en el dorso de un recibo de supermercado, los códigos QR -o códigos de respuesta rápida- están en todas partes, facilitando pagos, acceso a sitios web o detalles de productos, entre otros usos. Sin embargo, estos códigos también se han convertido en uno de los blancos preferidos de los ciberdelincuentes. Tanto es así que existe un término específico para esta vulnerabilidad: quishing.

Pensemos en el ejemplo de un menú en un restaurante. No hay carta física -una molestia para muchos comensales-, así que debe escanear el QR para acceder al menú. Si alguien ha llegado antes y colocado su propio QR sobre el original del restaurante, podría redirigirlo a un sitio web que, sin que usted lo note, descargue e instale software malicioso en su teléfono y luego lo lleve a la página oficial. Mientras decide su comida y bebida, el malware empieza a robar sus datos personales, credenciales de acceso e información de pago. Luego, el ataque escala, infectando cualquier dispositivo al que su teléfono se conecte y enviando copias de ese malware. También podría utilizar su correo y aplicaciones de mensajería para enviar, como si fueran suyos, mensajes a todos sus contactos, replicando el proceso. Finalmente, podría encriptar y bloquear su dispositivo, exigiendo un rescate para recuperar sus datos o amenazándolo con hacer públicos sus archivos robados. Y todo esto, solo por querer disfrutar de una cena tranquila.

“Uno tiene que ser muy precavido cuando se mueve en el mundo virtual. La gente debe entender que es tanto la presa como el objetivo de personas malintencionadas”, afirma Murguía a Domingo.

En este sentido, el experto señala que no pasa un día sin que reciba algún comentario de personas a quienes les han hackeado sus redes sociales o teléfonos. Además, explica que, dado que los antivirus para celulares no avanzan tan rápido como los de las computadoras, es probable que el quishing esté detrás de parte de este fenómeno.

Un informe de la empresa de ciberseguridad ESET indicó que en 2023 estos ataques se duplicaron en comparación con el año anterior.

Murguía también lanza otra advertencia: cree que esta tendencia aumentará durante el verano, cuando habrá más transacciones comerciales realizadas por personas desprevenidas.

En un ataque de quishing, se genera un código QR que redirige a un sitio web malicioso. Este código puede aparecer en diferentes formatos: como pegotín sobre el menú, en un correo electrónico, en redes sociales, en folletos impresos o incluso en objetos físicos. Por ejemplo, las víctimas podrían recibir un mensaje que las incite a escanear el código para acceder a un supuesto mensaje de voz cifrado o para participar de un sorteo. Murguía ha visto códigos QR hasta en tarjetas de presentación, donde el objetivo es obtener información de la persona y cargar el contacto automáticamente en el celular.

Como es imposible leer un QR y anticiparse a su contenido -es un menjunje de barras y cuadraditos-, en el caso de un menú o cartel en un local, es importante verificar que no haya un autoadhesivo sobre el código correcto. Para evitar este tipo de engaños, en Europa, sobre todo, ya se están utilizando QR grabados a láser en madera o metal.

ESET ha alertado recientemente en Reino Unido, Francia y Alemania sobre ciberdelincuentes que están pegando QR truchos sobre los legítimos en las estaciones de recarga de automóviles eléctricos. El código redirige a un sitio de suplantación de identidad que solicita la introducción de datos de pago. También se advierte que los hackers podrían estar utilizando tecnología de interferencia de señal para bloquear el uso de las aplicaciones de recarga, lo que obliga a las víctimas a escanear el código malicioso. “Los criminales tienen plata para gastar”, apunta Murguía.

Solo hay que ver las ganancias. El cibercrimen le costó al mundo US$,5 mil millones el año pasado, y se estima que para el próximo año la cifra subirá a US$ 12,5 mil millones. “El cibercrimen es la tercera economía del mundo, después de Estados Unidos y China, pero su único objetivo es robarle a la gente”, precisa el experto.

¿Y cómo protegernos? El primer paso para evitar estas estafas es desconfiar de los códigos QR que recibamos sin haberlos solicitado o que provengan de fuentes no confiables. También es prudente desconfiar de aquellos que ahora aparecen en la calle con ofertas tentadoras o con la promesa de revelar pruebas de la supuesta infidelidad de un vecino.

Existen varios métodos para detectar estos ataques. Uno de ellos es identificar las señales comunes de advertencia de phishing, ya que los ataques de quishing suelen incluir errores ortográficos, fallos gramaticales, direcciones de correo electrónico similares a las legítimas y otros indicios típicos de suplantación de identidad. Otra técnica es analizar el contenido del mensaje: los correos de phishing a menudo emplean tácticas de manipulación emocional o intentan crear una sensación de urgencia para aumentar su efectividad. Además, se puede recurrir a la detección de códigos QR, que a menudo se insertan en correos como imágenes poco evidentes; escanear estas imágenes en busca de códigos QR ayuda a identificar posibles ataques de quishing.