Qrishing

Podemos diferenciar dos tipologías de qrishing:^[4]

• A través del escaneo de un código QR falso el cual imita al original.

La víctima escanea el código QR el cual contiene un link que suplanta la identidad del original, al cual el usuario debería ser dirigido. Una vez el usuario está en la web falsa, sin tener conocimiento de ello, puede dar información privada (datos personales, datos bancarios, contraseñas, etc.) o descargar un software malicioso el cual infecta al dispositivo.

• Mediante la descarga de una aplicación cuya función es el escaneo de códigos QR pero la propia aplicación contiene un malware.

A continuación se exponen algunas técnicas para evitar ser víctimas de qrishing:^[4][5]

• Desactivar en el dispositivo la opción de abrir automáticamente los enlaces de los códigos QR.
• En el supuesto caso de que la página web a la que le ha dirigido el código QR solicite información privada, pensar si es realmente necesaria la solicitud de esta y, sobre todo, revisar si la URL de la página web es la correcta (prestar especial atención si estás están acortadas ya que no es usual).
• No escanear códigos QR de dudosa procedencia o desconocidos.
• Al escanear un código QR en físico revisar que no esté manipulado (en varias ocasiones se han detectado pegatinas de códigos QR falsos encima de los verdaderos).
• Si ha creado un código QR revisar frecuentemente y comprobar que no ha sido modificado o suplantado. También puede ser de utilidad un generador de códigos QR que ofreza garantías de seguridad.