
Los códigos QR creados con texto abren una nueva vía para el phishing empresarial
Los ciberdelincuentes están utilizando códigos QR construidos con caracteres de texto para intentar eludir los filtros de seguridad y dirigir a las víctimas hacia páginas fraudulentas que buscan robar credenciales.
Una nueva técnica para dificultar la detección
Kaspersky ha advertido de una técnica de phishing en la que el patrón visual de un código QR se genera mediante caracteres de texto.
A diferencia de los códigos tradicionales, este tipo de QR no se incorpora al mensaje como una imagen convencional.
El objetivo es dificultar el análisis automático del correo electrónico y aumentar las posibilidades de que el mensaje supere los filtros de seguridad.
Una vez recibido, el código puede ser escaneado por la persona usuaria desde su teléfono móvil.
Páginas fraudulentas para robar credenciales
El riesgo aumenta cuando el mensaje solicita realizar una acción concreta.
Entre las peticiones más habituales pueden aparecer el inicio de sesión, la descarga de un documento, la confirmación de una factura o una actuación urgente.
Después de escanear el código, la persona puede ser dirigida a una página que imita un servicio legítimo.
El objetivo de esa página fraudulenta es conseguir datos de acceso y otras credenciales.
La urgencia como señal de alerta
Los mensajes que exigen actuar con rapidez deben revisarse con especial precaución.
La urgencia puede utilizarse para reducir el tiempo de comprobación y provocar que la persona escanee el código sin verificar su origen.
Las solicitudes inesperadas para acceder a una cuenta, descargar archivos o confirmar pagos deben contrastarse antes de realizar cualquier acción.
El contexto del mensaje y la identidad del remitente son elementos clave para detectar un posible fraude.
Verificar antes de escanear
Las empresas deben evitar que el teléfono móvil se convierta en un canal sin controles.
Antes de escanear un código QR recibido por correo, conviene verificar quién lo envía y si la solicitud tiene sentido dentro de la actividad habitual.
También debe comprobarse el dominio de destino.
No resulta recomendable introducir contraseñas desde un enlace recibido de forma inesperada.
El móvil también forma parte de la seguridad empresarial
El uso del teléfono móvil para escanear códigos QR puede trasladar la interacción fuera del entorno protegido del equipo corporativo.
Por este motivo, la seguridad no debe limitarse únicamente a los ordenadores de la empresa.
Los procedimientos internos deben incluir también los dispositivos móviles utilizados para acceder a información, servicios o herramientas de trabajo.
La revisión del destino y del contexto debe realizarse antes de facilitar cualquier credencial.
Refuerzo de los filtros y la navegación segura
Los departamentos de tecnología pueden reforzar los filtros de seguridad para detectar mensajes sospechosos.
La navegación segura también forma parte de las medidas recomendadas.
A ello se suma la autenticación multifactor, que añade una capa adicional de protección cuando una contraseña ha sido comprometida.
Estas medidas deben integrarse dentro de una estrategia que combine tecnología, procesos y formación.
Procedimientos para comunicar correos sospechosos
Las empresas deben disponer de un procedimiento claro para comunicar mensajes sospechosos.
Las personas trabajadoras necesitan saber a quién deben dirigirse cuando reciben un correo con un código QR inesperado.
La comunicación rápida permite revisar el mensaje y advertir a otros miembros del equipo si existe una campaña en curso.
Un canal interno bien definido puede reducir el tiempo de respuesta ante una posible amenaza.
La formación debe incluir códigos QR
La formación en ciberseguridad no debe centrarse únicamente en enlaces convencionales.
Los ejemplos de códigos QR deben formar parte de las acciones de concienciación.
Las personas deben aprender a reconocer señales de alerta relacionadas con el remitente, el tono del mensaje, la urgencia y la dirección de destino.
También deben saber que un código QR puede ocultar un enlace fraudulento del mismo modo que cualquier otro vínculo.
Riesgo en hostelería, turismo y eventos
Los códigos QR se utilizan habitualmente en establecimientos de hostelería, actividades turísticas y eventos.
Su presencia puede encontrarse en cartas, entradas, carteles, accesos o materiales informativos.
Los establecimientos deben comprobar que estos códigos no hayan sido sustituidos.
Una pegatina o un cartel falso puede dirigir a las personas usuarias hacia una dirección diferente de la prevista.
Revisar códigos instalados en espacios físicos
La prevención no se limita a los mensajes recibidos por correo electrónico.
Los códigos colocados en espacios físicos también deben revisarse de forma periódica.
Los establecimientos pueden comprobar que el soporte original no haya sido cubierto o manipulado.
Esta verificación resulta especialmente importante en lugares de paso frecuente o abiertos al público.
Una alerta procedente de una empresa de ciberseguridad
La advertencia ha sido difundida por Kaspersky.
La descripción de la técnica y de su funcionamiento procede de la compañía.
La frecuencia real de este método y su impacto deberán completarse con datos de organismos públicos cuando estén disponibles.
Por ello, la alerta debe entenderse como una advertencia sobre una técnica detectada y no como una medición oficial de su alcance.
Tecnología, procesos y revisión humana
Los códigos QR creados con texto añaden una nueva variante a los intentos de phishing empresarial.
La respuesta de las empresas debe combinar controles técnicos, autenticación multifactor, navegación segura y procedimientos internos.
La formación periódica también resulta necesaria para evitar que las personas escaneen códigos sin comprobar su procedencia.
La revisión humana continúa siendo una de las principales barreras frente a mensajes que intentan generar confianza o urgencia.
