Los códigos QR se han convertido en una de esas tecnologías tan cotidianas que hace tiempo dejaron de llamarnos la atención. Los usamos para consultar cartas de restaurante, pagar en tiendas, acceder al Wi-Fi, validar entradas o descargar aplicaciones, casi siempre sin pensarlo demasiado. Precisamente por eso, porque escanear un código se ha convertido en un gesto automático, empiezan a convertirse también en una herramienta cada vez más atractiva para los ciberdelincuentes.
Porque esa familiaridad está empezando a transformarse en un nuevo punto débil de nuestra seguridad digital. Microsoft ha advertido del crecimiento de una técnica de fraude conocida como quishing, una variante del phishing tradicional que sustituye los enlaces sospechosos por códigos QR aparentemente inocentes. El objetivo sigue siendo el mismo de siempre —robar credenciales, secuestrar cuentas o acceder a información sensible—, pero el método resulta bastante más sutil y, en algunos aspectos, más difícil de detectar.
Según los investigadores de seguridad de Microsoft, este tipo de ataques está creciendo con rapidez a través de correos electrónicos, archivos PDF e incluso falsas páginas CAPTCHA, donde el QR oculta el enlace malicioso y evita muchas de las señales de alarma habituales. Ya no hay una URL sospechosa escrita de forma extraña ni dominios imposibles de leer a simple vista: el enlace queda encapsulado dentro del propio código, lo que también dificulta la detección por parte de algunos filtros tradicionales de seguridad.
La compañía asegura que más de 35.000 usuarios repartidos en unas 13.000 organizaciones ya han sido objetivo de este tipo de campañas, una cifra que ayuda bastante a dimensionar el problema. Los atacantes suelen apoyarse en mensajes diseñados para generar urgencia o sensación de legitimidad: falsas alertas de seguridad, supuestas incidencias de cumplimiento, mensajes pendientes de aprobación o avisos que aparentan proceder del departamento de recursos humanos, IT o incluso superiores jerárquicos.
Mucho cuidado con los códigos QR…
El funcionamiento del fraude resulta tan sencillo como efectivo. El usuario escanea el QR pensando que accederá a un servicio legítimo y acaba atravesando varias páginas intermedias hasta aterrizar en una web falsa de inicio de sesión, diseñada para capturar nombres de usuario, contraseñas e incluso tokens de sesión activos, algo especialmente delicado porque puede llegar a sortear determinadas protecciones de autenticación en dos pasos.
Y aquí aparece uno de los elementos más interesantes —y preocupantes— del fenómeno: el ataque no funciona tanto por sofisticación técnica como por costumbre. Hemos aprendido a desconfiar de enlaces extraños en el ordenador, pero tendemos a bajar la guardia cuando usamos el móvil para escanear un QR. Al fin y al cabo, solemos asociarlos a contextos cotidianos y aparentemente seguros. Esa confianza juega ahora a favor de los ciberdelincuentes.
Además, el problema no se limita al correo electrónico. Un QR fraudulento puede aparecer prácticamente en cualquier sitio: un cartel manipulado, una pegatina colocada sobre otro código legítimo, una falsa promoción, una carta de restaurante alterada o incluso documentación aparentemente oficial. El riesgo no reside únicamente en el soporte, sino en el contexto y en la urgencia con la que se nos empuja a actuar.
Eso no significa que debamos convertir cada QR en sospechoso por defecto, pero sí recuperar cierta cautela. Conviene revisar la dirección web antes de continuar —la mayoría de móviles muestran una vista previa del enlace—, desconfiar de peticiones inesperadas de inicio de sesión y prestar especial atención cuando un código nos redirige a servicios sensibles como correo corporativo, banca online o plataformas de trabajo. Si algo pide credenciales donde normalmente no las pide, probablemente merece una segunda mirada.
 
Más información
La entrada Cuidado con los códigos QR se publicó primero en MuyComputer.