Los códigos QR forman parte de nuestra vida diaria. Los vemos en todas partes, desde menús de restaurantes hasta portales de pago. Podemos utilizarlos para acceder rápidamente a información o realizar tareas con tan solo escanearlos con nuestros smartphones. Sin embargo, la popularidad y comodidad de los códigos QR también los han convertido en una herramienta atractiva para los ciberdelincuentes. Estos cuadros aparentemente inofensivos se han convertido en un caballo de Troya para sus estratagemas de phishing.
En diciembre de 2023, Proofpoint presentó nuevas funciones de detección en línea para bloquear las amenazas basadas en códigos QR. Y lo hicimos por varias razones. En primer lugar, reconocimos que estos ataques son muy engañosos y que las tecnologías existentes eran incapaces de analizar con precisión las URL incrustadas. También descubrimos que era muy probable que los usuarios fueran víctimas de estos ataques, ya que los datos de encuestas externas indicaban que más del 80 % de los usuarios creen que los códigos QR son seguros.
Además, nuestra propia investigación demostró que los ataques a códigos QR ya se habían generalizado. Ahora, vemos picos diarios de ataques mediante códigos QR que alcanzan las decenas de miles. Por lo tanto, nuestros clientes deben mantenerse alerta ante esta amenaza.
Para ayudar en esa tarea, Proofpoint ofrece ahora simulaciones de phishing de códigos QR a través de Proofpoint Security Awareness. Puede utilizarlos para ayudar a sus usuarios a aprender a reconocer y denunciar de forma proactiva intentos reales de phishing mediante códigos QR.
En este artículo, trataremos los aspectos básicos de nuestras simulaciones y cómo éstas constituyen un pilar fundamental de nuestra estrategia de seguridad centrada en las personas. Pero antes, analicemos cómo funciona el phishing de códigos QR.
La secuencia de eventos de un ataque basado en códigos QR
En el phishing basado en códigos QR, un atacante camufla URL maliciosas dentro de un código QR e incrusta el código QR en un mensaje de correo electrónico. El mensaje está redactado mediante elementos de ingeniería social para convencer a la víctima de que escanee el código. Una vez escaneado el código, se dirige a la víctima a un sitio web fraudulento diseñado para robar datos confidenciales como credenciales de acceso, números de tarjetas de crédito o datos personales.
Esquema general de la secuencia de ataque basado en códigos QR
Lo que hace que los códigos QR maliciosos sean tan difíciles de detectar es que los atacantes están combinando intencionadamente tácticas de evasión con códigos QR maliciosos para eludir los gateway de correo electrónico. Por ejemplo, en un reciente ataque basado en códigos QR, los ciberdelincuentes ocultaron códigos QR maliciosos dentro de un archivo PDF adjunto. Además, la URL redirigida utilizaba tácticas de evasión como añadir un CAPTCHA de Cloudflare para parecer legítima. Los ciberdelincuentes saben que si consiguen que llegue a su víctima con éxito puede comprometer su seguridad, por lo que están motivados a seguir mejorando sus tácticas de evasión.
La solución: simulación de phishing de códigos QR
El riesgo de que el usuario se vea expuesto a un ataque de phishing mediante un código QR es alto, de ahí la importancia de formar a los usuarios sobre esta amenaza. Aquí es donde nuestra simulación de phishing con código QR puede ayudar.
Básicamente, la simulación funciona utilizando plantillas de correo electrónico basadas en ataques reales. Los administradores pueden utilizar las plantillas predefinidas para lanzar campañas de simulación que prueben la posible reacción de los empleados ante un ataque basado en códigos QR.
Estas simulaciones ofrecen a los usuarios experiencia directa sobre cómo identificar, evitar y denunciar estas amenazas. Este ejercicio también ayuda a los administradores a conocer las vulnerabilidades de sus usuarios para que puedan desarrollar planes educativos personalizados.
Ejemplo de una plantilla de simulación de phishing de código QR de Proofpoint
Para ayudar a perfeccionar los conocimientos y habilidades del usuario, las plantillas predefinidas se clasifican automáticamente en función de su nivel de dificultad mediante nuestra función Leveled Phishing. Proofpoint es el primer y único proveedor de concienciación de seguridad que combina el aprendizaje automático y el estudio Phish Scale del NIST para clasificar automáticamente el nivel de dificultad de nuestras plantillas de simulación de phishing.
Leveled Phishing garantiza que los administradores puedan cuestionar objetivamente la comprensión de la amenaza por parte del usuario. A medida que los conocimientos de un usuario mejoran con cada simulación, el administrador puede seguir retándole, lanzando simulaciones cada vez más difíciles.
Si el usuario no supera la simulación, los “Momentos de aprendizaje” le proporcionan consejos educativos sobre por qué la simulación era una amenaza y cómo puede evitarla en el futuro.
Ejemplo de un “Momento de aprendizaje” de Proofpoint
La combinación de simulaciones de códigos QR con la educación justo a tiempo (“just in time”) puede ayudar a:
- Mejorar la comprensión del usuario
- Maximizar la participación usuarios
- Impulsar un cambio positivo en el comportamiento de los usuarios
Cómo complementan estas simulaciones nuestra estrategias de seguridad centradas en las personas
El riesgo de ataques de phishing mediante códigos QR es constante. Para proteger a su personal, debe adoptar un enfoque multicapa que combine la formación de los usuarios con la protección frente a las amenazas.
Proofpoint ofrece una protección completa frente al phishing basado en códigos QR
Formación antes del ataque
La mejor manera de evitar que los usuarios caigan en la trampa de un ataque es ofrecerles formación antes de que se produzca. La formación debe incluir contenidos atractivos, evaluaciones de conocimientos y simulaciones de ataques de phishing.
Los programas tradicionales de concienciación en materia de seguridad suelen centrarse en formación basada en vídeos en los que solo se tratan conceptos teóricos. Sin embargo, la simulación de phishing de códigos QR va un paso más allá. Ofrece experiencias de formación prácticas basadas en las amenazas de los códigos QR activas en circulación.
Junto con módulos educativos y evaluaciones específicos para códigos QR, nuestro enfoque integral puede reforzar los conceptos clave y enseñar a sus usuarios a reconocer y responder de forma proactiva a los ataques de phishing mediante códigos QR.
Detección antes de la entrega
La formación en materia de seguridad es fundamental para concienciar sobre las amenazas y aumentar la resiliencia de los usuarios. Sin embargo, el error de usuario siempre supone un riesgo. Por lo tanto, es igualmente importante contar con una solución de protección frente a amenazas que pueda impedir que un ataque llegue a la bandeja de entrada de los usuarios.
Introduzca las funciones de detección de códigos QR de Proofpoint antes de la entrega, que combinan inteligencia artificial basada en el comportamiento y tecnologías de análisis en entorno aislado. Al escanear códigos QR en el punto de entrada, puede identificar y bloquear URL maliciosas antes de que sus usuarios puedan acceder a ellas. Al eliminar los ataques de phishing mediante códigos QR, reducirá la exposición de los usuarios. Sus usuarios solo tienen que preocuparse por uno o dos mensajes que podrían llegar a su bandeja de entrada.
Detecciones tras la entrega y corrección
Si dota a su personal de los conocimientos adecuados, les permitirá para convertirse en superhéroes de la ciberseguridad de su empresa. En situaciones en las que las amenazas mediante códigos QR puedan pasar desapercibidas, la formación impartida permitirá a sus empleados a actuar rápidamente para denunciar los mensajes maliciosos.
Cuando utilizan una herramienta como PhishAlarm para denunciar un mensaje sospechoso, las funciones de corrección tras la entrega de Proofpoint analizarán automáticamente el mensaje. Al igual que con nuestras funciones previas al envío, podemos escanear y analizar los códigos QR de los documentos PDF y Word adjuntos, así como las imágenes del correo electrónico mediante tecnologías como el reconocimiento óptico de caracteres (OCR). Si se detecta que un correo electrónico es malicioso, podemos clasificarlo y eliminarlo automáticamente de las bandejas de entrada de todos los usuarios de su empresa.
Disfrute de seguridad centrada en las personas con Proofpoint
El phishing basado en códigos QR es una amenaza importante y cada vez mayor para empresas de todos los tamaños. Y como el uso de los códigos QR sigue extendiéndose, es probable que los ciberdelincuentes sigan utilizándolos como herramientas para lanzar ataques de phishing. Sin embargo, si su empresa adopta una estrategia de seguridad global que integre la formación en material de seguridad y la protección frente a amenazas, puede mitigar los riesgos asociados al phishing de códigos QR y reforzar la resiliencia de los usuarios a estos ataques.
Para obtener más información sobre nuestro enfoque de seguridad centrado en las personas para evitar el phishing de códigos QR, póngase en contacto con Proofpoint hoy mismo.