“Inicialmente empezó en Estados Unidos, pero en México ha ido en aumento, donde una de las formas en que se usan es pegar otro código dentro de parquímetros donde los usuarios llegan a pagar y en ese momento ven el código, lo escanean y muchas veces desde ahí soban los datos bancarios de los usuarios”, menciona a Expansión Iskander Sanchez-Rola, director de Innovación para Norton.
Uno de los problemas que Sanchez-Rola señala que también es recurrente es el uso de este tipo de códigos falsos en estaciones de carga de vehículos eléctricos o incluso en tiendas online y comercios físicos con cupones de descuento.
¿Qué es Quishing?
Este fenómeno consiste en la redirección a páginas falsas que en muchas ocasiones roban los datos de los usuarios o inclusos sus datos bancarios, para posteriormente hacer otro tipo de fraudes, como suplantación de identidad digital o la clonación de sus credenciales.
De acuerdo con el ejecutivo de Norton este tipo de códigos QR pueden estar incrustados en correos electrónicos, publicaciones en redes sociales, materiales impresos, sitios web o ubicaciones físicas.
Se trata de un problema que puede crecer, pues más de un tercio de los usuarios de teléfonos inteligentes escanean al menos un código QR por semana y casi el 90% de todos los consumidores han escaneado un código QR al menos una vez en sus vidas, según datos de HBS.
“Más de la mitad de las personas confía en los códigos QR en parquímetros o estaciones de carga, porque son sitios que pueden usar este mecanismo para direccionar a aplicaciones, sin embargo, los usuarios deben ser conscientes a la hora de querer usar esta herramienta y verificar que en verdad se use una app de pago externa”, apunta Sánchez-Rola.
Y en el caso de las empresas, también existe un riesgo. Por ejemplo, es posible que una empresa o colaborador reciba un correo electrónico que anuncie una actualización importante sobre el programa de beneficios de la compañía. Una vez escaneado, el código QR del correo electrónico redirige al empleado a una página de inicio de sesión falsa que se parece exactamente al portal de recursos humanos de la empresa. El empleado, pensando que se trata de una solicitud legítima, ingresa sus credenciales, que luego son recopiladas por los atacantes.
Desde un punto de vista organizacional, cada empleado es un objetivo potencial de phishing. Sin embargo, los miembros de la alta dirección tienen 42 veces más probabilidades de recibir un ataque de phishing con código QR que un empleado no ejecutivo.
“Lo ideal es usar este tipo de herramienta sólo si es necesario y así evitar que caigan los colaboradores. En el caso de los comercios es difícil controlar que se peguen stickers en sus menús, por lo que si pueden usar menús tradicionales y salvaguardar sus códigos en un lugar seguro disminuirá los riesgos a sus clientes”, recomienda el ejecutivo.