Códigos QR en el phishing enviado por correo electrónico

Los códigos QR se encuentran en todas partes: en carteles y folletos, en la pantalla de terminales de pago, en etiquetas de precios y mercancías, en edificios y monumentos históricos. Se utilizan para compartir información, promocionar diversos recursos en línea, pagar compras y pasar verificaciones. Al mismo tiempo, los códigos QR no se utilizan muy a menudo en los correos electrónicos debido a que los usuarios suelen leer los mensajes desde sus teléfonos y como no tienen otro dispositivo a mano para escanear el código, los correos electrónicos se envían sobre todo con hipervínculos ordinarios. Sin embargo, los atacantes usan con cada vez mayor frecuencia códigos QR en el correo.

A diferencia de los enlaces de phishing, que son bastante fáciles de verificar y bloquear, el código QR presenta un problema para las soluciones de seguridad. Para analizarlo y averiguar qué tiene codificado se necesita una tecnología de visión por computadora cara y que consume muchos recursos. Además, si un usuario puede ver y evaluar un enlace ordinario antes de abrirlo, es imposible saber adónde conduce un código QR sin antes escanearlo.

¿Qué es un código QR?

Un código QR (Quick Response Code, código de respuesta rápida) es un código gráfico bidimensional formado por varios cuadrados y muchos puntos (módulos) dispuestos en una cuadrícula cuadrada sobre fondo blanco. Los códigos QR pueden leerse mediante un dispositivo de procesamiento de imágenes que localiza el código por cuadrados y luego lee la información codificada en los puntos. Además del propio código, el campo cuadrado puede ofrecer espacio para elementos decorativos, como el logotipo de la organización.

Los códigos QR permiten codificar más información que los códigos de barras unidimensionales. Suelen utilizarse para codificar enlaces a recursos específicos, como el catálogo de una tienda, la página de pago de un producto o la página de información de un objeto.

Cómo utilizan los atacantes los códigos QR en el correo

Los estafadores utilizan códigos QR para codificar enlaces a páginas de phishing y estafas. Detectamos los primeros intentos de utilizar esta técnica en envíos fraudulentos a finales de 2021. Se trataba de correos electrónicos fraudulentos que fingían ser mensajes de servicios de entrega como FedEx y DHL. Los atacantes exigían a la víctima que pagase derechos de aduana escaneando un código QR. El enlace del código conducía a una página falsa para introducir los datos de la tarjeta bancaria. La campaña no fue masiva y, hacia mediados de 2022, dejó de estar activa. Vimos nuevos envíos de cartas con códigos QR en la primavera de 2023. A diferencia de la primera, su objetivo eran los inicios de sesión y las contraseñas de usuarios corporativos de productos de Microsoft.

Los atacantes enviaban correos electrónicos falsos a las víctimas informándoles de que la contraseña de su cuenta de correo electrónico corporativo estaba a punto de dejar de ser válida. Para mantener el acceso a la cuenta, se aconsejaba al usuario que escaneara un código QR. Algunos correos procedían de direcciones de correo electrónico gratuitas, mientras que otros procedían de dominios recién registrados. En algunos mensajes, los atacantes decoraban el código QR con el logotipo de Microsoft Security para hacerlo más convincente.

Correo electrónico de phishing con código QR

Una vez que el usuario recibe el correo electrónico de phishing y escanea el código QR, se lo redirige a un formulario falso de inicio de sesión en una cuenta, diseñado para parecerse a una página de inicio de sesión de Microsoft. Si introduce su nombre de usuario y contraseña en esta página, los atacantes obtienen acceso a su cuenta.

Formulario de phishing

Además de mensajes sobre la necesidad urgente de cambiar la contraseña o actualizar los datos personales, encontramos un correo sobre correos no entregados que también contenía códigos QR que llevaban a una página falsa de introducción de credenciales de una cuenta de Microsoft.

En el correo electrónico de la captura de pantalla siguiente, los estafadores prescindieron del logotipo en el código QR, pero insertaron la línea This email is from a trusted source (“Este correo electrónico procede de una fuente de confianza”) en el cuerpo del mensaje con el fin de que el usuario baje la guardia.

Notificación de correo no entregado

Algunas de las páginas que se abren al escanear un código QR se encuentran en recursos IPFS. Hace algún tiempo escribimos sobre cómo y por qué los atacantes utilizan este sistema de archivos distribuido.

Uso de IPFS en el phishing por QR

Estadísticas

Entre junio y agosto de 2023, detectamos 8878 correos electrónicos de phishing que contenían códigos QR. La actividad de los atacantes alcanzó su punto álgido en junio, con 5 063 correos electrónicos; en agosto, el volumen de envíos había descendido a 762 correos.

Dinámica del número de correos electrónicos de phishing con códigos QR, junio-agosto de 2023 (descargar)

Conclusiones

El uso de códigos QR ayuda a los atacantes en varios aspectos a la vez: en primer lugar, les permite evadir la detección e impedir el bloqueo de correos electrónicos, ya que no es tan fácil comprobar el contenido de un código QR y el correo electrónico no contiene enlaces de phishing. Es imposible bloquear un correo electrónico por el contenido de un código QR, porque a pesar de ser un elemento impopular en el correo electrónico, los códigos QR pueden utilizarse en correos electrónicos legítimos, por ejemplo, en la autofirma del remitente. En segundo lugar, como no hay ningún enlace en el correo electrónico, no es necesario registrar cuentas y dominios adicionales para redirigir al usuario y ocultar así el phishing. Por último, la mayoría de los usuarios escanean los códigos QR mediante la cámara del teléfono y prefieren solucionar el problema sin dilaciones, por eso es posible que no presten atención a la dirección de la página que se abre, que en el navegador móvil no salta a la vista.

Por otra parte, los remitentes legítimos rara vez utilizan códigos QR en sus envíos, por lo que el mero hecho de que haya un código de este tipo en el correo puede hacer sospechar al destinatario. Además, el código QR debe escanearse con algo, y puede que el usuario no tenga un segundo dispositivo a mano para ello. De momento no vemos muchos envíos con códigos QR. Cabe suponer que la proporción de destinatarios de estos correos electrónicos que han escaneado el código es baja. Sin embargo, aunque este mecanismo es fácil de utilizar, también cabe suponer que habrá más ataques de este tipo en un futuro próximo, y que las propias campañas serán cada vez más astutas y personalizadas.