Qrishing (o quishing): qué es el phishing por QR y cómo simularlo

Un código QR luminoso con una esquina despegada que deja ver un patrón de alerta debajo, mientras un teléfono lo escanea desde abajo
Nicolás Bruna Blog No hay comentarios

Qrishing (o quishing): qué es el phishing por QR y cómo simularlo

Hay un cartel con un código QR pegado encima de otro. A simple vista no se nota, el adhesivo nuevo tapa al original y lleva a otra parte. Quien lo escanea cree que paga el parking o abre el menú del restaurante, pero acaba de entregar sus datos en una página falsa.

Eso es qrishing, también escrito quishing, y es uno de los vectores que más creció en el último año. Lo incómodo para el equipo de seguridad es que casi todo lo que está montado para frenar el phishing por correo no lo ve venir.

¿Qué es el qrishing o quishing?

El qrishing es una variante de phishing que usa un código QR como anzuelo. En lugar de un enlace de texto, el atacante esconde la URL maliciosa dentro de un QR para que la persona lo escanee y termine en una página fraudulenta.

El nombre surge de unir QR y phishing, y vas a encontrarlo escrito de las dos formas, qrishing y quishing, según la fuente. El objetivo es el de siempre (robar credenciales, datos de pago o llevar a la instalación de algo en el dispositivo), pero cambia el envoltorio, y ese cambio es justo lo que lo vuelve efectivo.

¿Cómo funciona un ataque de qrishing?

El esquema es sencillo, y por eso funciona.

El atacante genera un código QR falso que apunta a una página bajo su control, una copia del portal de acceso de un banco, del correo corporativo o de una pasarela de pago. Después lo coloca donde la gente baja la guardia: pegado sobre un QR legítimo en un espacio público, dentro de un correo o un PDF con aspecto oficial, o impreso en una carta que aparenta venir de un proveedor.

La persona escanea, llega a la página falsa, escribe sus credenciales y se las entrega al atacante sin notarlo. Como el QR se abre casi siempre en el móvil, el salto del entorno corporativo al dispositivo personal es inmediato.

¿Por qué se les escapa a los filtros tradicionales?

Acá está el punto que más preocupa. Un filtro de correo analiza enlaces y adjuntos, pero un código QR viaja como imagen. Para el filtro es un cuadro de píxeles, no una dirección que pueda revisar contra listas de reputación.

Y hay un segundo problema. El QR casi siempre se escanea con el teléfono personal, fuera de la red corporativa y de sus controles. El equipo de seguridad pierde visibilidad justo en el momento del escaneo. Es la misma brecha que trabajamos en lo que tu SIEM no ve, donde el comportamiento de la persona ocurre en un lugar al que las herramientas tradicionales no llegan.

Por eso bloquear no alcanza. Si la defensa depende de que un sistema intercepte el ataque, el qrishing pasa por debajo.

¿Cómo se simula el qrishing?

La forma de saber cuán expuesta está tu organización es provocar un ataque controlado antes de que llegue el real. Una simulación de qrishing reproduce el escenario en un entorno seguro y mide qué ocurre.

En la práctica, la campaña incluye un código QR que lleva a una página de aterrizaje propia e inofensiva, en lugar de a un sitio fraudulento. Cuando alguien lo escanea no entrega nada; solo queda registrado que escaneó, y ese dato alimenta el indicador de riesgo de esa persona. Con eso, la organización sabe dónde reforzar.

Lo que distingue a una buena simulación está en cómo se diseña, algo que desarrollamos en cómo se diseña una campaña de simulación que cambia comportamiento. El QR es un canal más dentro de esa lógica, no un truco aislado.

¿Cómo se entrena a la gente contra el qrishing?

La tecnología ayuda, pero frente al qrishing la última decisión la toma siempre una persona con el teléfono en la mano. Vale la pena trabajar tres reflejos:

  • Desconfiar de cualquier QR no solicitado, sobre todo si llega por correo o aparece pegado en un lugar público.
  • Previsualizar la URL antes de abrirla. La mayoría de los móviles muestran la dirección al apuntar la cámara, y ahí saltan los dominios extraños.
  • Verificar por otro canal cuando un QR pide credenciales o un pago. Una llamada o entrar a mano al sitio oficial despeja la duda.

Estos hábitos no se instalan con una charla. Se construyen con práctica y repetición, que es de lo que se trata un programa de concientización sostenido.

La respuesta corta

¿Qué es el qrishing? Phishing que esconde la trampa en un código QR para esquivar los filtros de correo y saltar al móvil de la persona. ¿Cómo se combate? Midiéndolo con simulaciones controladas y entrenando los reflejos de quien escanea, porque el resultado se juega ahí, en la persona, más que en el filtro.

Si quieres ver cómo se montan estas campañas dentro de un programa de concientización, en SMARTFENSE lo trabajamos como parte de las herramientas de simulación de phishing.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Etiquetas del post :
Entrada anterior

Entrada siguiente

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario

Búsqueda

Entradas recientes

Nube de etiquetas

actualidad cambio de comportamiento capacitación y concientización ciberseguridad ciso columnista invitado concientización consejos hardening de usuarios ingeniería social phishing ransomware responsable de seguridad seguridad de la información smartfense