Los códigos QR se han convertido en algo cotidiano, apareciendo en correos electrónicos, carteles, menús, facturas y pantallas de inicio de sesión. Los usuarios con conocimientos de seguridad han aprendido a tratar los enlaces con cautela, pero los códigos QR aún implican cierta seguridad. Investigadores de la Universidad de Deakin han examinado cómo se utilizan códigos QR visualmente estilizados en ataques de silenciamiento.
Su estudio introduce un método de detección que evalúa los códigos QR en función de su estructura en lugar del enlace que contienen, con un enfoque en diseños visualmente estilizados que utilizan colores, formas, logotipos e imágenes de fondo.
Cambios de diseño que debilitan la inspección QR
Los códigos QR ocultan su destino hasta que se escanean. Este diseño ayuda a los atacantes a eludir la inspección automatizada y limita la visibilidad de los usuarios hasta que se escanean. Las pasarelas de correo electrónico examinan las URL en texto plano. Una imagen de código QR evita ese paso de inspección.
Los códigos QR sofisticados complican aún más la detección. Su diseño ya no se asemeja a la cuadrícula en blanco y negro habitual. Los logotipos aparecen en el centro. Los módulos se redondean, estiran o recolorean. Las imágenes de fondo se integran en el código. Estos cambios de diseño preservan el éxito del escaneo, pero alteran las premisas visuales y estructurales de las herramientas de detección existentes.
Los códigos QR, una preocupación creciente en materia de seguridad
Informes recientes del sector muestran que el 22 % de los ataques relacionados con códigos QR reportados fueron de silenciamiento. Los atacantes también han comenzado a usar LLM para crear textos de señuelo persuasivos que acompañan a los códigos QR en correos electrónicos y material impreso.
El abuso del código QR también ha provocado advertencias de los reguladores y ha llamado la atención de los equipos de inteligencia de amenazas.
Según un informe de NordVPN, el 73 % de los estadounidenses escanea códigos QR sin verificar el destino, y más de 26 millones de usuarios han sido redirigidos a sitios web maliciosos. En 2025, la Comisión Federal de Comercio de EE. UU. advirtió a los consumidores que los códigos QR en paquetes inesperados debían considerarse sospechosos. El Departamento de Transporte de la Ciudad de Nueva York emitió una advertencia similar tras descubrir códigos QR fraudulentos en parquímetros.
Los actores de amenazas también han adoptado esta técnica. Hackers norcoreanos patrocinados por el estado y vinculados al grupo Kimsuky han incorporado códigos QR maliciosos en correos electrónicos de phishing selectivo . Estas campañas redirigen a las víctimas a páginas de inicio de sesión falsas para servicios como Microsoft 365, Okta y portales VPN para obtener credenciales y tokens de sesión. Actores de amenazas vinculados a Rusia han llevado a cabo campañas de phishing similares basadas en códigos QR dirigidas a parlamentarios del Reino Unido y su personal.
Los investigadores de seguridad de la Unidad 42, la unidad de inteligencia de amenazas de Palo Alto Networks, informan que los ataques basados en QR a menudo dependen de cadenas de redirección y servicios web legítimos para evadir los controles de seguridad del correo electrónico, lo que hace que la detección sea más difícil cuando el escaneo se realiza en dispositivos móviles.
Detener el quishing antes de que llegue a alguna parte
Para abordar este problema, los investigadores presentan ALFA, un enfoque de diseño seguro que reduce la exposición a ataques de quishing. En lugar de permitir que los usuarios accedan a un destino potencialmente dañino tras escanearlo, ALFA evalúa el código QR en el momento del escaneo y detecta diseños sospechosos antes de acceder a la carga útil.
El trabajo también introduce FAST, un método de apoyo que ayuda a corregir las distorsiones visuales comunes en los códigos QR decorativos, lo que mejora la fiabilidad de estas primeras evaluaciones.
Los investigadores validaron el enfoque utilizando un conjunto diverso de códigos QR sofisticados y demostraron su relevancia práctica mediante una aplicación móvil. Las pruebas demostraron que el método puede funcionar junto con los lectores QR existentes en lugar de reemplazarlos, lo que respalda su uso en situaciones de escaneo cotidianas.
En conjunto, los resultados posicionan a ALFA como una respuesta oportuna a los ataques de quishing que se alinea con la forma en que se diseñan y utilizan los códigos QR.
Fuente y redacción: helpnetsecurity.com