El phishing sigue siendo un dolor de cabeza para las empresas porque, seamos honestos, el correo electrónico sigue siendo la herramienta principal para manejar cosas importantes: descuentos, alertas de seguridad, facturas... Y los ciberdelincuentes lo saben.
También saben que hay pocas cosas que llamen más la atención de un trabajador que su sueldo y, mejor aún, un bono extra. Por eso, en este nuevo tipo de ataque, las víctimas reciben un correo que parece venir del departamento de recursos humanos de su empresa. El mensaje habla de un "bono mejorado" y, para reclamarlo, solo hay que escanear un código QR. Suena tentador, ¿no?
El problema es que ese código QR no lleva a una recompensa, sino a una página falsa donde, sin saberlo, los trabajadores entregan sus credenciales de Microsoft a un estafador. Esta táctica, conocida como quishing (phishing con códigos QR), está ganando terreno rápidamente porque aprovecha nuestra confianza en estos códigos y la falta de herramientas para detectarlos.
¿Cómo los hackers usan códigos QR en ataques de phishing?
Los hackers utilizan códigos QR en ataques de phishing para evadir filtros de seguridad y engañar a sus víctimas de manera más efectiva. En lugar de enviar enlaces sospechosos en correos electrónicos, incluyen un código QR que, al ser escaneado, redirige a la víctima a un sitio web falso.
Ejemplo:
[Nombre de la organización] Estrategia de distribución de bonificaciones mejoradas. Se solicita su atención al documento proporcionado por el Departamento de Recursos Humanos/Nómina.
Fecha: viernes de febrero de 2025
Escanee el código QR a continuación con la cámara de su teléfono inteligente para acceder fácilmente a la revisión del documento.
[Código QR]
No comparta este correo electrónico, ya que incluye un enlace seguro a nuestra plataforma SharePoint. Agradecemos su cooperación para mantener la seguridad y la confidencialidad al no revelar este enlace ni su código de acceso a otras personas.
Su correo electrónico: [employee.name@organization.country]
Este intento de phishing se ve muy real porque el archivo adjunto y la URL del código QR incluyen la dirección de correo del destinatario. Una vez que la víctima escanea el código, primero pasa por una pantalla de protección de bots de Cloudflare (para parecer más legítimo) y luego es llevada a una página falsa de inicio de sesión de Microsoft, donde, sin saberlo, entrega sus credenciales a los atacantes.
Sitio de inicio de sesión falso de Microsoft
Algo curioso es que el botón "Siguiente" solo funciona si ingresas un correo corporativo. Si intentas con una cuenta personal, el sitio falso muestra un mensaje de error que dice: "No pudimos encontrar una cuenta con ese nombre de usuario. Prueba con otra o crea una nueva cuenta de Microsoft". Esto sugiere que los atacantes están apuntando específicamente a trabajadores de empresas, no a usuarios individuales.
Con las credenciales de Microsoft 365 en sus manos, los atacantes pueden acceder a información corporativa sensible, como correos electrónicos, documentos y comunicaciones internas. Pero el problema no termina ahí. Con un solo inicio de sesión, también podrían infiltrarse en toda la red de la empresa, robar datos, escalar ataques e incluso desplegar ransomware.
Los hackers han empezado a usar códigos QR porque son más difíciles de detectar para los filtros de seguridad del correo electrónico. Además, si la víctima escanea el código desde su teléfono personal y este no está protegido por el software de seguridad de la empresa, el ataque puede pasar completamente desapercibido.
Podría interesarte leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
¿Cómo Protegerse del Phishing con Códigos QR?
Aunque este tipo de ataque es difícil de detectar, hay varias medidas que puedes tomar para minimizar el riesgo:
1. No escanear códigos QR de correos electrónicos sospechosos: Si recibes un código QR en un correo electrónico, verifica la autenticidad del remitente antes de escanearlo. En caso de duda, contacta directamente con la empresa o el departamento de TI.
2. Comprobar la URL antes de ingresar credenciales: Después de escanear un código QR, revisa cuidadosamente la dirección web a la que te dirige. Asegúrate de que coincide exactamente con la URL oficial del servicio antes de ingresar tu información.
3. Activar la autenticación multifactor (MFA): Si los atacantes logran obtener tu contraseña, la autenticación multifactor puede detenerlos. Habilita esta opción en tus cuentas de Microsoft y otros servicios críticos para agregar una capa extra de seguridad.
4. Usar un escáner de QR con verificación de URL: Existen aplicaciones que no solo escanean códigos QR, sino que también muestran la URL antes de abrirla. Esto te permite comprobar si el enlace es seguro antes de hacer clic en él.
5. Educar a empleados y usuarios sobre el peligro del quishing: Las empresas deben capacitar a sus trabajadores sobre este tipo de ataque y promover buenas prácticas de seguridad. Un equipo bien informado es la mejor defensa contra el phishing en cualquier forma.
6. Contar con una solución de ciberseguridad avanzada: Una de las formas más efectivas de prevenir ataques de phishing con códigos QR es implementar una solución de seguridad como TecnetProtect. Esta herramienta cuenta con protección avanzada para correos electrónicos, detectando y bloqueando mensajes maliciosos antes de que lleguen al buzón de los trabajadores. Al filtrar correos sospechosos y analizar enlaces en tiempo real, TecnetProtect ayuda a evitar que los trabajadores caigan en trampas de phishing, reduciendo significativamente el riesgo de robo de credenciales y acceso no autorizado a la red de la empresa.
Conclusión
El phishing con códigos QR es una táctica emergente que representa una amenaza significativa para usuarios y empresas. Su capacidad para evadir filtros de seguridad y explotar la confianza de las personas lo convierte en un método eficaz para el robo de credenciales.
Invertir en una solución de ciberseguridad robusta no solo protege la información corporativa, sino que también brinda tranquilidad a los equipos de TI y a los trabajadores, permitiéndoles enfocarse en su trabajo sin preocuparse por amenazas invisibles.
