Nueva amenaza a través de códigos QR: ¡Tu teléfono puede infectarse con sólo escanearlo!

El phishing a través de códigos QR, también conocido como “Quishing”, se ha vuelto más peligroso que nunca, ya que los atacantes explotan estos códigos de formas innovadoras para hackear dispositivos y robar datos.

Según un informe publicado por el sitio web Ángulo de silicioLos ciberdelincuentes ahora integran JavaScript malicioso en códigos QR, ejecutándolos automáticamente al escanearlos. Aún más peligroso, los usuarios objetivo ni siquiera necesitan hacer clic en el enlace que aparece tras el escaneo para que sus dispositivos se vean comprometidos.

Este método se diferencia de Amenazas tradicionales a los códigos QR, que simplemente redirigía a los usuarios a sitios web maliciosos cuando hacían clic en el enlace que se mostraba después del escaneo.

En cambio, este nuevo método consiste en incrustar HTML y JavaScript directamente en códigos QR mediante Identificadores Uniformes de Recursos (URI). Esto significa que el malware puede operar completamente dentro del navegador, donde puede tomar el control de las páginas de inicio de sesión, espiar lo que se escribe (keylogger) y ejecutar exploits inmediatamente.

Una vez activado, el JavaScript malicioso también puede extraer datos mediante formularios ocultos e identificar la huella digital del dispositivo. Aún más preocupante es que este código malicioso puede eludir la mayoría de los programas, herramientas y sistemas de seguridad, ya que el malware está incrustado en el propio código y, por lo tanto, no se conecta a ninguna URL externa al ejecutarse. De igual manera, Informe INKY En este tema, los atacantes ya están utilizando estas nuevas técnicas de phishing para ocultarse. Malware peligroso Y escapar de la detección.

Cómo protegerse de los códigos QR maliciosos: una guía completa

No hace falta decirlo, pero lo recalcamos: Evite escanear códigos QR desconocidos.Por supuesto. Si la fuente es desconocida o no deseada, no la escanee. La seguridad digital empieza con la precaución.

Si recibe un correo electrónico o mensaje de texto que le pide escanear un código QR para completar una acción o actividad, especialmente si el mensaje transmite urgencia, contacte directamente al remitente a través de un número de teléfono conocido, un canal de chat o la información de contacto oficial de la empresa, no respondiendo al correo electrónico o mensaje de texto que envió la solicitud. Verifique de forma independiente que le pidan escanear el código. Este paso es crucial para verificar la autenticidad de la solicitud y evitar ser víctima de fraude.

Nunca proporciones información de inicio de sesión ni ningún otro dato personal confidencial después de escanear un código QR, a menos que estés completamente seguro de que el sitio que visitas es legítimo. Revisa la URL cuidadosamente, incluso si parece atractiva a primera vista. Los estafadores suelen usar URL muy similares a las originales para engañar a los usuarios.

Al mismo tiempo, también deberías desactivar la función que abre automáticamente el navegador en tu sistema operativo móvil o la aplicación de escáner de códigos QR. Esto evitará que el escáner abra enlaces antes de que puedas verificarlos primero. Además, asegúrate de usar un escáner de códigos QR que muestre la URL antes de abrirla. Esta configuración proporciona una capa adicional de protección contra enlaces maliciosos.

Al igual que con cualquier amenaza de phishing, sea extremadamente cauteloso y desconfíe de cualquier mensaje (correo electrónico, SMS o redes sociales) que transmita una sensación de urgencia o amenaza. Cualquier amenaza de desactivación de cuenta, acciones legales, suspensión de cuenta, inicio de sesión no autorizado o una exigencia de actuar de inmediato debe considerarse un posible ataque. Estas tácticas son comunes en los intentos de phishing y su objetivo es presionar a los usuarios para que tomen decisiones precipitadas.

Si recibe un correo electrónico sospechoso con un código QR, repórtelo a su equipo de TI o seguridad en el trabajo. Si ve un mensaje similar en su cuenta personal, siempre puede reportarlo como spam o posible phishing. Reportar estos mensajes ayuda a proteger a otros de ser víctimas de fraude.

Dada la inmensa popularidad de los códigos QR y la facilidad con la que la gente los escanea en restaurantes y otros lugares públicos, no creo que esta amenaza desaparezca pronto. Esperemos que tanto Google como Apple trabajen para implementar medidas de protección para los usuarios de Android y iPhone contra códigos QR maliciosos. Desarrollar mecanismos de seguridad robustos es crucial para mantener la seguridad de los usuarios en la era digital.