Apuntas la cámara y te quedas sin Telegram: los códigos QR son la nueva “llamada del servicio de seguridad del banco”
Para perder el control por completo ya no hacen falta largas conversaciones ni persuasión.
Los códigos QR habituales, que cada vez se ven más en la publicidad, en sitios web y en aplicaciones, se están convirtiendo gradualmente en una herramienta útil no solo para las empresas, sino también para los atacantes. El equipo Unit 42 de Palo Alto Networks describió cómo los atacantes usan códigos QR para sacar a la víctima fuera de los perímetros de protección habituales y activar escenarios más vulnerables en los teléfonos inteligentes personales.
Los autores del informe identificaron tres técnicas más destacadas. La primera está relacionada con servicios que combinan la generación de códigos QR y el acortamiento de enlaces. Ese código QR no conduce al sitio final, sino a una dirección intermedia con redireccionamientos, y el propietario puede cambiar rápidamente el destino final. Según la telemetría de Unit 42, en promedio se registran más de 11.000 activaciones diarias de códigos QR maliciosos. En el rastreo fuera de línea de páginas web, los especialistas encuentran alrededor de 75.000 códigos QR diariamente, y aproximadamente el 15% de esas páginas contienen códigos que dirigen a enlaces peligrosos.
La segunda técnica consiste en incrustar enlaces profundos, es decir, enlaces que abren una pantalla concreta dentro de una aplicación móvil y lanzan una acción sin la transición web habitual. Esto dificulta el análisis, ya que los escáneres web estándar a menudo no ven qué ocurrirá después del escaneo. Se dan escenarios en los que un enlace profundo empuja a la autenticación en un mensajero, a la vinculación de un dispositivo, al envío de un mensaje o a iniciar una acción de pago. En la muestra de Unit 42, la proporción de enlaces profundos en los códigos QR fue de alrededor del tres por ciento, siendo más frecuentes los enlaces hacia Telegram, XHS Discover y Line. También se describen ejemplos de ataques a Signal y WhatsApp mediante mecanismos de vinculación de dispositivos.
El tercer riesgo está relacionado con intentos de eludir las comprobaciones de las tiendas de aplicaciones. Los analistas encontraron 59.000 páginas donde los códigos QR llevaban a la descarga directa de aplicaciones Android en formato APK; en total detectaron 1.457 archivos únicos. Gran parte de esas distribuciones se asocia con servicios de apuestas, donde el instalador solicita permisos que parecen excesivos para la función declarada, incluidos el acceso a la cámara, la geolocalización y el almacenamiento.
Además, el informe destaca el panorama sectorial para los ataques que comprometen códigos QR a través de servicios de acortamiento de enlaces: el sector financiero representó el 29% de esos casos, seguido por las tecnologías avanzadas con el 19% y el comercio mayorista y minorista con el 14%. Al mismo tiempo, la proporción de enlaces QR financieros en el tráfico total es notablemente menor, lo que subraya la intencionalidad de los abusos.
En Palo Alto Networks atribuyen el aumento del quishing a que los códigos QR se han vuelto rutinarios, y los escenarios móviles ofrecen a los atacantes más formas de ocultar el objetivo final detrás de redireccionamientos y acciones dentro de las aplicaciones.