Mientras los códigos QR se convierten en herramientas cotidianas, el quishing emerge como un sofisticado ciberataque que afecta a millones en Latinoamérica. Fabio Sánchez, director de Ciberseguridad de OCP TECH, comparte cómo protegernos ante esta creciente amenaza.

El uso de códigos QR ha llegado a cada rincón de la vida diaria: pagos, menús, publicidad. Sin embargo, en paralelo, una amenaza cada vez más sofisticada llamada “quishing” (combinación de QR y phishing) ha captado la atención de ciberdelincuentes en Latinoamérica, especialmente en Ecuador, Colombia y Panamá. Estos países han visto un incremento significativo en los casos reportados, en parte debido a la rápida adopción de la digitalización.

¿Qué es el quishing?

El quishing se basa en engañar a los usuarios a través de códigos QR maliciosos que redirigen a sitios fraudulentos, donde los ciberdelincuentes pueden extraer datos sensibles, como contraseñas o detalles financieros. A diferencia de los ataques de phishing tradicionales, los usuarios no pueden previsualizar el enlace, lo cual aumenta el riesgo de caer en la trampa.

Fabio Sánchez, director de Ciberseguridad de OCP TECH, explica que esta modalidad ha evolucionado notablemente en el último año. “Al principio, los atacantes enviaban simples solicitudes de re-autenticación a través de QR en correos electrónicos. Hoy, sin embargo, estos códigos incluyen complejos trucos de encriptación que los hacen casi invisibles para los sistemas de detección,” detalla Sánchez.

En Ecuador, el aumento del comercio digital y las herramientas de pago online han generado que los usuarios adopten los QR sin reservas, lo que ha sido aprovechado por ciberdelincuentes. El director de Ciberseguridad de OCP TECH advierte que “los usuarios tienden a confiar ciegamente en los QR debido a su facilidad de uso, sin considerar el riesgo de suplantación”.

En Colombia, donde los códigos QR se utilizan para servicios públicos y sistemas de pago en transporte, el riesgo también es elevado. Un caso reciente involucró a una red de estafadores que distribuyó códigos QR en estaciones de autobuses. Al escanearlos, los usuarios eran dirigidos a una web falsa de pagos, donde se capturaban sus datos bancarios.

Por su parte, Panamá ha visto una adopción acelerada del QR en su economía digital. La Cámara de Comercio Panameña reveló que al menos el 40% de las empresas en la capital han implementado sistemas QR para facilitar transacciones, lo que ha llevado a un aumento en los casos de quishing. Un caso notorio en el país involucró a visitantes de centros comerciales, donde códigos QR falsos llevaban a los usuarios a una página que imitaba la web de una importante cadena de tiendas, robando así información de tarjetas de crédito.

La evolución de los ataques: El “QR Code 3.0”

Fabio Sánchez destaca la aparición de una técnica denominada “QR Code 3.0”. A través de códigos ASCII incrustados en el HTML de correos electrónicos, los atacantes logran que sus códigos QR no sean detectados. “El engaño es tal que estos QR pasan desapercibidos para las herramientas de detección tradicionales, lo que representa un desafío para las áreas de ciberseguridad”, comenta el ejecutivo.

Cómo protegerse del quishing

Para evitar caer en estas trampas, Sánchez recomienda:

1.           No confiar ciegamente en los QR: siempre verificar la fuente antes de escanear.

2.           Mantener los dispositivos actualizados y utilizar aplicaciones de seguridad con herramientas de verificación de QR.

3.           Difundir y educar: “Debemos compartir información con nuestro entorno para que nadie caiga en esta trampa”, concluye Sánchez.

A medida que la tecnología avanza, también lo hacen las tácticas de los ciberdelincuentes. En países latinoamericanos, la amenaza del quishing se encuentra en ascenso. Es imperativo que los usuarios sean cautelosos, actualicen sus dispositivos y estén siempre informados. La conciencia y la precaución siguen siendo nuestras mejores defensas en la era digital.