Los c\u00f3digos QR se han vuelto invisibles de tanto usarlos en aparcamientos, men\u00fas, citas previas, log\u00edstica, publicidad exterior.<\/p>\n\n\n\n
Esta familiaridad es justo lo que explota una variante del phishing<\/em> que se apoya en c\u00f3digos QR <\/strong>para llevar al usuario a sitios que imitan servicios leg\u00edtimos y robar credenciales o datos bancarios. De ah\u00ed el nombre de \u201cquishing<\/em>\u201d o \u201cphishing QR<\/em>\u201d.<\/strong><\/p>\n\n\n\n \u00bfHas o\u00eddo hablar de esta forma de ataque cibern\u00e9tico?<\/p>\n\n\n\n De entrada, una buena pr\u00e1ctica es entrenar el ojo con c\u00f3digos de prueba: por ejemplo, haciendo uno sencillo en OnlineQRCode<\/strong><\/mark><\/a> Espa\u00f1a<\/strong><\/mark><\/a> y comprobando qu\u00e9 URL aparece antes de abrirla.<\/p>\n\n\n\n Pero, para detectar las amenazas, hay que saber reconocerlas. Por eso, en este contenido detallamos todo acerca del quishing<\/em> para que aprendas a identificar amenazas ocultas<\/strong> en algo tan com\u00fan como un c\u00f3digo QR.<\/p>\n\n\n\n La mec\u00e1nica es simple: el QR \u201coculta\u201d la URL real tras un mosaico. A diferencia de un enlace tradicional, el usuario no lee antes de pulsar: primero escanea, luego abre.<\/p>\n\n\n\n Ese segundo de ventaja permite al atacante redirigir a una p\u00e1gina que copia colores, tipograf\u00edas y tono de la entidad suplantada, y empujar a introducir datos o descargar una app maliciosa. <\/strong><\/strong><\/p>\n\n\n\n En Espa\u00f1a, la Polic\u00eda Nacional ha lanzado avisos sobre QR superpuestos en parqu\u00edmetros y carteler\u00eda<\/a> que consisten en pegatinas mal recortadas colocadas sobre el c\u00f3digo leg\u00edtimo que redirigen a webs de pago falsas.<\/strong><\/p>\n\n\n\n El patr\u00f3n se repite con una llamada a la acci\u00f3n, por ejemplo, para hacer un pago con sentido de urgencia, dominios casi id\u00e9nticos a los oficiales y p\u00e1ginas que piden tarjeta o credenciales.<\/p>\n\n\n\n Los medios que se hicieron eco de estos avisos insisten en la inspecci\u00f3n visual previa y en leer la URL <\/strong>en la vista de preapertura del m\u00f3vil.<\/p>\n\n\n\n No es una an\u00e9cdota aislada. El uso del QR se ha extendido a tantos tr\u00e1mites cotidianos que resulta un canal atractivo para la ingenier\u00eda social.<\/p>\n\n\n\n En este sentido, el Instituto Nacional de Ciberseguridad (INCIBE)<\/a>, confirma que un QR puede redirigir a sitios fraudulentos o inducir a descargar software malicioso si el atacante ha manipulado el soporte o el destino.<\/p>\n\n\n\n La Agencia de la Uni\u00f3n Europea para la Ciberseguridad (ENISA) tambi\u00e9n recuerda en sus publicaciones que el phishing evoluciona con nuevos vectores, entre ellos, los QR, y que conviene combinar controles t\u00e9cnicos con h\u00e1bitos de usuario.<\/strong><\/p>\n\n\n\n La mayor\u00eda de problemas se evitan con buenas pr\u00e1cticas concretas que recomiendan tanto la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD)<\/a> como gu\u00edas p\u00fablicas de ciberseguridad: mirar el soporte f\u00edsico, leer el dominio completo y desconfiar<\/strong> de urgencias artificiales.<\/p>\n\n\n\n Adem\u00e1s, mantener el m\u00f3vil y las apps actualizados, usar bloqueo de pantalla robusto y activar el segundo factor a\u00f1ade una capa extra frente a accesos indebidos.<\/p>\n\n\n\n M\u00e1s en profundidad, las autoridades recomiendan que cuando vayas a escanear, te tomes un segundo para comprobar tres cosas.<\/strong><\/p>\n\n\n\n Estas pautas derivan de advertencias publicadas por medios como El Independiente<\/a> y universidades que han tratado el auge del quishing <\/em>tras la pandemia.<\/p>\n\n\n\n M\u00e1s all\u00e1 de la vista previa de un enlace que se genera al apuntar la c\u00e1mara del m\u00f3vil a un c\u00f3digo QR, hay se\u00f1ales que delatan un destino poco fiable: par\u00e1metros de seguimiento extra\u00f1os, subdominios largos que intentan parecer oficiales o redirecciones encadenadas que cambian la barra de direcciones varias veces.<\/p>\n\n\n\n Un recurso sencillo es abrir el enlace en un navegador que tenga aislamiento de sitios y capacidad de habilitar la protecci\u00f3n antiphishing<\/em><\/strong>; como Google Chrome, si el navegador lanza un aviso, no haga clic.<\/p>\n\n\n\n Si tu organizaci\u00f3n publica QR en mesas, marquesinas, m\u00e1quinas de estacionamiento, env\u00edos, tr\u00e1talos como un punto sensible.<\/strong><\/p>\n\n\n\n Es necesario hacer revisiones peri\u00f3dicas para detectar adhesivos superpuestos, usar marcos y dise\u00f1os identificativos que hagan visible cualquier manipulaci\u00f3n y rotular junto al c\u00f3digo el dominio oficial y un aviso de que no se pedir\u00e1n credenciales o tarjetas en ese flujo.<\/p>\n\n\n\n Las p\u00e1ginas de destino deber\u00edan estar en dominios propios, con certificados v\u00e1lidos y pol\u00edticas como HSTS o CSP, adem\u00e1s de un plan de rotaci\u00f3n y retirada <\/strong>cuando termine una campa\u00f1a.<\/p>\n\n\n\n El INCIBE aconseja verificar con frecuencia que los c\u00f3digos no han sido modificados y emplear servicios que garanticen destinos correctos.<\/p>\n\n\n\n Una idea pr\u00e1ctica para campa\u00f1as en exteriores y carteler\u00eda es acompa\u00f1ar el QR de una URL legible y corta en el mismo soporte: si alguien sospecha, puede teclear la direcci\u00f3n sin depender del escaneo.<\/p>\n\n\n\n Y para equipos de atenci\u00f3n, un protocolo claro: si llega una queja por un QR \u201craro\u201d, revisar de inmediato el soporte f\u00edsico y documentarlo con fotos antes de reponer.<\/p>\n\n\n\n Si has introducido datos tras escanear un QR sospechoso, act\u00faa r\u00e1pido.<\/strong><\/p>\n\n\n\n Cambia la contrase\u00f1a<\/strong> del servicio afectado y de cualquier otra cuenta donde la reutilizaras, activa el segundo factor y revisa movimientos bancarios. Re\u00fane pruebas (capturas, URL, justificantes) y acude a tu entidad si se han visto comprometidos pagos.<\/p>\n\n\n\n En paralelo, contacta con la L\u00ednea 017 del INCIBE<\/strong>: es gratuita, confidencial y funciona todos los d\u00edas de 8:00 a 23:00; all\u00ed orientan sobre bloqueo de cuentas, denuncia y limpieza de dispositivos.<\/p>\n\n\n\n Tambi\u00e9n puedes denunciar ante Polic\u00eda Nacional o Guardia Civi<\/strong>l y consultar la p\u00e1gina de INCIBE sobre c\u00f3mo interponer denuncia y reportar fraudes.<\/p>\n\n\n\n El propio Instituto recuerda que la ciudadan\u00eda usa estos canales con frecuencia, y que entre las consultas m\u00e1s habituales figuran suplantaciones, vishing<\/em> y compras fraudulentas, lo que encaja con el contexto en el que prolifera el quishing<\/em>.<\/p>\n\n\n\n En conclusi\u00f3n, los QR seguir\u00e1n aqu\u00ed porque ahorran pasos y hacen accesibles muchos servicios. Pero, precisamente por eso, merecen un poco m\u00e1s de atenci\u00f3n.<\/p>\n\n\n\n Seguridad cotidiana, sin dramatismos: mirar el soporte, leer la URL, desconfiar de la prisa y mantener el m\u00f3vil actualizado. Con eso evitar\u00e1s la mayor\u00eda de sustos.<\/p>\n\n\n\n Conoce m\u00e1s sobre temas sobre herramientas digitales y seguridad online en nuestra secci\u00f3n Tecnolog\u00eda<\/mark><\/a>. Encuentra freelancers expertos en ciberseguridad en Soyfreelancer.com<\/mark><\/a>, publicando tu proyecto y eligiendo la mejor oferta. Contrata de forma segura y con garant\u00eda de escrow<\/mark><\/a>. <\/p>\n\n\n\n<\/a>\u00bfC\u00f3mo funciona esta amenaza?<\/strong><\/h2>\n\n\n\n
<\/a>\u00bfQu\u00e9 puedo hacer para protegerme?<\/strong><\/h2>\n\n\n\n
\n
<\/a>C\u00f3mo verificar un QR desde el propio m\u00f3vil<\/h3>\n\n\n\n
<\/a>\u00bfQu\u00e9 deben hacer negocios y administraciones para combatir el \u201cquishing\u201d?<\/strong><\/h2>\n\n\n\n
<\/a>\u00bfYa he picado, qu\u00e9 debo hacer?<\/h2>\n\n\n\n