Quishing es esencialmente un ataque de phishing que utiliza inteligentemente códigos QR para engañar a los usuarios para que visiten sitios web maliciosos. Cuando un usuario escanea un código QR malicioso, su navegador va al sitio web indicado por el código QR.
Más información Lea el informe de seguridad del correo electrónico
Los ataques de quishing funcionan como los ataques de phishing tradicionales. A menudo, un ataque de phishing implicará un correo electrónico o un mensaje de texto que contenga un enlace malicioso. Cuando el destinatario hace clic en un enlace, se le dirige a un sitio de phishing que intenta robar información confidencial, como credenciales de inicio de sesión, o instalar malware en su computadora.
Los ataques de quishing se diferencian de los ataques de phishing tradicionales en la forma en que se formatea el enlace en un correo electrónico. En lugar de un enlace basado en texto, el sitio web malicioso se señala mediante un código QR. Cuando un usuario escanea el código QR, su dispositivo puede extraer el enlace indicado y llevar al usuario a esa URL.
Si bien el quishing utiliza muchas de las mismas técnicas que un ataque de phishing tradicional, el uso de códigos QR hace que sea mucho más difícil de detectar y bloquear. En lugar de un enlace incrustado en un mensaje, que puede detectarse escaneando el texto del correo electrónico, un ataque quishing utiliza una imagen que puede decodificarse en una URL. Identificar códigos QR en correos electrónicos y extraer las URL es mucho más difícil que simplemente leer un enlace del texto del mensaje.
Los códigos QR están diseñados para ser una manera fácil y eficiente en espacio de dirigir a los usuarios a un sitio web. En lugar de escribir una URL, el usuario puede escanear el código QR con la cámara de su dispositivo móvil. Una aplicación compatible con códigos QR puede decodificar la imagen en una URL que luego se puede abrir en el navegador del usuario.
Visitar un sitio web malicioso a través de un código QR tiene los mismos posibles impactos en un usuario y su dispositivo que si lo hubiera visitado por otros medios, como hacer clic en un enlace en un correo electrónico de phishing. El sitio de phishing podría estar diseñado para engañar al usuario para que ingrese sus credenciales de inicio de sesión o instale malware en su dispositivo.
Quishing plantea un desafío de seguridad único para las organizaciones porque involucra múltiples dispositivos. Si un usuario recibe un correo electrónico con un código QR en un dispositivo, probablemente escaneará ese código con otro dispositivo para abrir la página web indicada. Esto crea importantes desafíos de seguridad para una organización porque los usuarios que reciben correos electrónicos engañosos enviados a su dirección de correo electrónico del trabajo pueden escanear el código QR malicioso utilizando un dispositivo personal. Es posible que estos dispositivos no estén sujetos a las políticas de ciberseguridad de la organización y carezcan del mismo nivel de defensas antiphishing, lo que dificulta la prevención, detección y seguimiento de posibles compromisos.
Las empresas también enfrentan el riesgo opuesto cuando se enfrentan a ataques de quishing. Un correo electrónico de suplantación de identidad enviado a un correo electrónico personal no será bloqueado por las defensas antiphishing corporativas. Si un usuario escanea ese correo electrónico con un dispositivo empresarial, el dispositivo corporativo podría infectarse con malware si las soluciones de seguridad de la empresa no detectan ni bloquean la amenaza.
Algunos métodos para detectar estos ataques incluyen:
Las organizaciones y los individuos pueden usar varios métodos para protegerse contra los ataques de quishing, incluyendo:
Check Point Harmony Email and Collaboration ofrece una sólida protección antiphishing, incluidos los ataques de quishing. Fue nombrado líder en la Forrester Wave 2023 para la seguridad del correo electrónico empresarial. Para obtener más información sobre cómo Harmony Email and Collaboration puede ayudar a proteger su organización contra las últimas amenazas de phishing, regístrese hoy para una demostración gratuita.