Especialistas de Kaspersky advirtieron sobre el quishing, un fraude con códigos QR como vector de infección que se vuelve más efectivo durante temporadas de alto volumen de entregas, cuando los usuarios están más acostumbrados a recibir paquetes como el Hot Sale. En este caso, se hace por medio del envío de paquetes no solicitados con estos códigos falsos para comprometer la seguridad de los usuarios. 

La alerta sobre esta variante del phishing cobra relevancia ya que una parte importante de la población desconoce los riesgos asociados a los códigos QR. Un estudio de la firma indica que 47% de los mexicanos no sabe que estos pueden ser utilizados para comprometer dispositivos móviles y aplicaciones bancarias.

Su efectividad radica en que el usuario no percibe el riesgo antes de interactuar con el contenido digital, ya que el engaño se materializa primero en el mundo físico a través del paquete. 

¿Cómo funciona el fraude con códigos QR? 

De acuerdo con la firma de ciberseguridad, los atacantes utilizan bases de datos filtradas disponibles en internet para obtener nombres, direcciones y otros datos de contacto de las víctimas. Con esta información, realizan pedidos en plataformas de comercio electrónico a nombre de los usuarios afectados, pero registran correos electrónicos y métodos de pago controlados por los propios delincuentes. El objetivo es evitar alertas en los sistemas de las tiendas.

Los paquetes enviados no contienen productos de valor para la víctima, sino que funcionan como un canal físico de entrega diseñado para generar confianza. En su interior se incluyen tarjetas, notas o stickers con códigos QR acompañados de mensajes que apelan a la curiosidad o a supuestos beneficios, como regalos, recompensas o solicitudes de reseña.

Al escanear el código, la víctima es redirigida a sitios web controlados por los atacantes. Estas páginas suelen simular ser plataformas legítimas y solicitan la captura de datos personales, bancarios o códigos de verificación asociados a aplicaciones financieras, bajo el pretexto de activar una recompensa o confirmar la recepción del paquete.

En otros casos, el flujo incluye la descarga de aplicaciones fuera de tiendas oficiales, que presentan como herramientas para rastrear el envío o identificar al remitente. 

Estas aplicaciones pueden contener software malicioso diseñado para obtener acceso al dispositivo, interceptar información sensible o, en escenarios más avanzados, permitir el control remoto del equipo.

De acuerdo con Kaspersky, este tipo de ataque se conoce como quishing, La compañía también destacó que recibir paquetes no solicitados puede ser un indicio de que información personal, como direcciones y datos de contacto, fue filtrada y circula en bases de datos accesibles para terceros.

En este contexto, especialistas recomiendan evitar escanear códigos QR de origen desconocido y verificar siempre la autenticidad de cualquier entrega inesperada.

 

***************************

¡Reciba gratuitamente el boletín de Mobile Time Latinoamérica y manténgase bien informado sobre tecnología móvil y negocios! Regístrese aquí.

Las ilustraciones de los artículos son producidas por Mobile Time con IA.