El código QR se reinventa: este ciberataque se esconde tras un inofensivo archivo PDF
Manuela Muñoz
- Named Account Manager de Proofpoint
Hasta ahora, los ciberataques con códigos QR funcionaban de una manera muy simple: se incrustaba un código malicioso directamente en un correo electrónico y se esperaba a que alguna víctima lo leyera. Sin embargo, recientemente, los delincuentes han ideado una variante mucho más sofisticada. En estos nuevos ataques multicapa, el QR malicioso se oculta en lo que parece ser un inofensivo archivo PDF adjunto. Mediante tácticas de evasión, como añadir un CAPTCHA de Cloudflare, consiguen ralentizar y dificultar la detección automática.
Estos ataques de desarrollan en cuatro fases:
- Un correo electrónico que parece legítimo actúa como señuelo para incitar al destinatario a abrir un PDF adjunto.
- El código QR está incrustado en el PDF, lo que hace que la URL maliciosa no sea visible directamente en el correo electrónico.
- El uso de un CAPTCHA de Cloudflare en la web destino del código QR añade otra capa al engaño. Con este paso, consiguen eludir las herramientas de detección de seguridad que se basan únicamente en el análisis de la reputación de una URL.
- Una vez resuelto el CAPTCHA, el usuario llega a una página de phishing creada para robar sus credenciales. Si el ataque tiene éxito, el ciberdelincuente obtiene acceso a una cuenta que puede utilizar, por ejemplo, para propagar ataques dentro de la empresa donde trabaje su víctima o para engañar a sus contactos.
En la defensa contra este tipo de amenazas, es vital el uso de un escaneado de códigos QR, un OCR (reconocimiento óptico de caracteres) u otras técnicas. Pero esto sólo sirve para extraer la URL oculta y no actúa como mecanismo de detección para diferenciar entre códigos QR legítimos o maliciosos. Además, muchas de las herramientas disponibles actualmente carecen de la capacidad de escanear un código si está incrustado en un archivo adjunto.
Por este motivo, los usuarios tienen un papel muy importante en la detección de los ataques de phishing que utilizan técnicas tan avanzadas. Para una amenaza multicapa, es necesario una estrategia de ciberseguridad que también sea multicapa. A continuación, algunos consejos clave para evitar convertirse en una víctima:
- No confiar automáticamente en cualquier QR, especialmente los que llegan en correos no solicitados.
- En muchos casos, los intentos de suplantación de identidad crean una sensación de urgencia en la víctima. Es importante estar alerta cuando se recibe alguna solicitud para actuar en un tiempo limitado.
- Es recomendable invertir en herramientas de seguridad integral, que no sólo analicen la reputación de las URLs, sino que combinen inteligencia sobre amenazas, análisis de comportamiento y tecnologías avanzadas como OCR y sandboxing de URLs.
- Estar informado sobre ciberseguridad y las últimas tendencias en ciberataques permite identificar mails sospechosos, cuestionar solicitudes inesperadas y denunciarlas proactivamente.
Las técnicas de ataque de los ciberdelincuentes evolucionan y cambian continuamente. Por eso, es imprescindible estar informados y preparados para enfrentar estas amenazas. La implementación de herramientas avanzadas de seguridad, combinada con la educación del usuario, puede ayudar a prevenir estos ataques más sofisticados. Al mantenerse alerta y tomar medidas preventivas, resulta más sencillo proteger nuestras cuentas y datos personales de las manos de los ciberdelincuentes.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.