El auge del Quishing y su impacto en el mundo empresarial

Aunque los códigos QR se han usado desde hace décadas, su popularización explotó en la pandemia, convirtiéndolos en una herramienta más de mercadeo y un objeto de deseo para los cibercriminales. Conozca la naturaleza e impacto del Quishing.

Como su nombre lo indica, el Quishing es la contracción de dos términos tecnológicos. Por una parte, los códigos de respuesta rápida o QR, surgidos en los noventa, y por otra, una modalidad criminal que cada día va en aumento: el «phishing«.

En términos más claros, el Quishing es un tipo de ataque de phishing que utiliza códigos QR maliciosos para redirigir a los usuarios a sitios web fraudulentos, iniciar descargas de malware o engañarlos para que revelen credenciales y datos financieros.

Aunque se trata de una tendencia global, en Colombia su impacto se disparó tras la pandemia, al punto que la Fiscalía General de la Nación generó alertas sobre esta modalidad criminal. Por cierto, también en Colombia hay cuatro intentos de phishing por minuto.

Pero quizás lo más triste del Quishing es que los QR nacieron como una propuesta beneficiosa para todos, al punto que la empresa que los creó, Denso Wave (una subsidiaria de Toyota), ni siquiera los patentó buscando ayudar a su popularización. Y es que esta tecnología ofrecía beneficios palpables sobre sus antecesores, los códigos de barras.

La efectividad del Quishing

El Quishing puede distribuirse a través de correos electrónicos, mensajes de texto, redes sociales e incluso mediante la colocación física sobre códigos QR legítimos en espacios públicos o comerciales, como por ejemplo en los menús de restaurantes.

La efectividad de esta modalidad criminal radica sobre todo en dos factores: Primero, la naturaleza oculta de los códigos QR que esconde la URL de destino, impidiendo una verificación visual previa al escaneo; y segundo, la alta confianza y familiaridad que los usuarios han desarrollado hacia esta tecnología tras la pandemia.

Además, los atacantes suelen incrustar estos códigos en imágenes o archivos PDF, lo que les permite eludir los filtros de seguridad de correo electrónico tradicionales que se centran en analizar enlaces basados en texto. Y estas técnicas funcionan: en 2023, se reportó un aumento del 51% en ataques de Quishing y otras fuentes indican un incremento interanual de casi 600% en incidentes.

Otros indicadores y consejos

Quizás la cifra más impactante del Quishing fue la dada a conocer por Keepnet, donde se estima que cerca del  2% de todos los códigos QR escaneados son maliciosos, pero solo 36% de estos incidentes son identificados y reportados correctamente.

Y peor aún, el Quishing continúa evolucionando, incluyendo variantes más sofisticadas como el QRLJacking, donde los atacantes clonan un código QR de inicio de sesión legítimo para secuestrar la sesión de un usuario en un servicio web.

Frente a esta amenaza, es fundamental que las empresas adopten una estrategia de mitigación multicapa y proactiva. La protección contra el Quishing no recae en una única solución, sino en la combinación de defensas tecnológicas, procesos organizacionales y una cultura de ciberseguridad arraigada, donde la primera línea de defensa es el «firewall humano«.

Pero claro, también está la parte tecnológica donde las organizaciones deben desplegar soluciones avanzadas de seguridad de correo electrónico que incluyan filtros anti-phishing y anti-malware, autenticación de remitentes (DMARC, DKIM, SPF) y, fundamentalmente, capacidades de Reconocimiento Óptico de Caracteres (OCR) para detectar y analizar códigos QR incrustados en el cuerpo de los correos y en archivos adjuntos.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a impulsar la transformación de tu negocio y a hacerlo de manera sostenible ingresa aquí.

Foto de Freepik