AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

## Ciberdelincuentes reinventan el “quishing”: nuevas técnicas de manipulación de códigos QR evaden la detección

admin

### Introducción

Durante los últimos meses, los códigos QR se han consolidado como vector predilecto para campañas de phishing debido a su ubicuidad en entornos corporativos y su aparente inocuidad. Sin embargo, la sofisticación de los ataques de “quishing” (phishing mediante códigos QR) ha alcanzado un nuevo nivel. Según un reciente informe de los analistas de amenazas de Barracuda Networks, los atacantes han desplegado técnicas innovadoras para eludir las soluciones de seguridad convencionales, comprometiendo aún más la protección de los usuarios y sistemas empresariales.

### Contexto del Incidente o Vulnerabilidad

El auge del teletrabajo, la digitalización de procesos y la adopción de sistemas de autenticación físicos-digitales han incrementado exponencialmente el uso de códigos QR en flujos de trabajo, autenticaciones y comunicaciones. Los atacantes han capitalizado esta tendencia, aprovechando la confianza depositada en estos elementos visuales para desplegar campañas de phishing dirigidas. A diferencia de los enlaces tradicionales, los códigos QR generan desafíos adicionales para los motores de detección, ya que su contenido no es visible ni fácilmente analizable por herramientas antiphishing convencionales.

### Detalles Técnicos

El informe de Barracuda identifica dos técnicas principales empleadas para dificultar la detección automatizada de códigos QR maliciosos:

1. **Fragmentación del código QR**: Esta técnica consiste en dividir la imagen de un código QR malicioso en dos o más partes, que son insertadas por separado en el cuerpo de un correo electrónico o documento. Visualmente, el receptor percibe un código QR completo, pero los sistemas automáticos de escaneo de imágenes embebidas encuentran dificultades para reconstruir y analizar el contenido. Esta fragmentación puede realizarse mediante manipulación directa de la imagen (por ejemplo, usando scripts de Python como Pillow) o a través de HTML/CSS para ensamblar las partes durante la visualización.

2. **Inserción encubierta de datos dentro de los módulos del QR**: Los atacantes modifican selectivamente ciertos módulos (los “píxeles” del QR) para insertar datos redundantes o “ruido” que no afecta la decodificación por dispositivos móviles, pero sí confunde los sistemas de análisis estático y dinámico. Esta manipulación aprovecha la tolerancia al error inherente al estándar QR (ECC – Error Correction Capability), permitiendo ocultar payloads maliciosos o URLs camufladas.

En ambos casos, el objetivo es sortear los motores de análisis de imágenes y los módulos de reconocimiento de patrones de los gateways de correo electrónico, SIEMs y plataformas EDR.

**TTPs MITRE ATT&CK relevantes**:
– T1566.002 (Phishing: Spearphishing Link)
– T1204.001 (User Execution: Malicious Link)
– T1036 (Masquerading)

**Indicadores de compromiso (IoC) observados**:
– Fragmentos de imágenes QR en HTML adjuntos o inline
– URLs ofuscadas en payloads QR redirigiendo a dominios comprometidos o de reciente creación
– Metadatos o campos EXIF alterados en imágenes embebidas

Actualmente, no se ha asignado un CVE específico a estas técnicas, dado que explotan debilidades en los procesos de análisis y no vulnerabilidades de software concretas.

### Impacto y Riesgos

Las campañas de quishing han experimentado un crecimiento superior al 200% en el último año, según datos de Barracuda y otros actores del sector como Proofpoint. La dificultad para detectar y analizar códigos QR manipulados incrementa el riesgo de compromiso de credenciales, instalación de malware y exfiltración de datos.

Entre los riesgos más relevantes destacan:
– **Robo de credenciales corporativas**: Redirección a páginas de login falsificadas que imitan portales de Microsoft 365, Google Workspace o sistemas internos.
– **Ataques a dispositivos móviles**: Descarga automatizada de aplicaciones maliciosas al escanear el QR.
– **Bypass de controles Zero Trust y MFA**: Utilización de flujos QR para eludir autenticaciones robustas mediante la explotación de la confianza en canales “fuera de banda”.

Empresas del sector financiero, sanitario, educación y administración pública figuran entre las más afectadas, con incidentes de compromiso que han generado pérdidas económicas estimadas en torno a los 5 millones de euros en lo que va de 2024.

### Medidas de Mitigación y Recomendaciones

Para contrarrestar estas nuevas técnicas, los equipos de seguridad deben reforzar sus mecanismos de defensa:

– Actualización de motores de análisis de imágenes y detección de fragmentación de QR en gateways de correo (Microsoft Defender for Office 365, Proofpoint, etc.).
– Implementación de políticas de seguridad que restrinjan el escaneo de códigos QR en dispositivos corporativos y validación previa de URLs embebidas.
– Uso de herramientas OSINT y scripts personalizados para análisis forense de imágenes sospechosas, detectando manipulación de metadatos y estructuras QR.
– Formación continua a empleados sobre riesgos del quishing y verificación manual de destinos antes de escanear cualquier QR.
– Aplicación de políticas Zero Trust y segmentación de red para limitar el movimiento lateral tras un posible compromiso.

### Opinión de Expertos

Ana Ferrer, analista senior de amenazas en S21sec, advierte: “La manipulación avanzada de códigos QR representa un desafío técnico para los SOCs, que deben combinar inteligencia artificial y análisis forense de imágenes para mitigar estos ataques. La concienciación del usuario sigue siendo clave, pero urge la innovación en soluciones específicas para quishing”.

Por su parte, Daniel Pérez, CISO en una entidad financiera, subraya: “La fragmentación de QR es un ejemplo de cómo los atacantes explotan los límites de la detección automatizada. Es imprescindible revisar los flujos de trabajo digitales y limitar la exposición de elementos QR en procesos críticos”.

### Implicaciones para Empresas y Usuarios

La reinvención del quishing obliga a las organizaciones a revisar sus estrategias de defensa y adaptar sus políticas de gestión de riesgos. Bajo el marco regulatorio europeo (GDPR, NIS2), la exposición a incidentes derivados de campañas de phishing por QR puede acarrear sanciones significativas, además de daños reputacionales y operativos.

Para los usuarios, la recomendación es clara: no escanear códigos QR provenientes de correos electrónicos no verificados o comunicaciones sospechosas y reportar cualquier intento de quishing al equipo de seguridad.

### Conclusiones

Las nuevas técnicas de manipulación de códigos QR demuestran la constante evolución de las tácticas de ingeniería social y la necesidad de una defensa multicapa. La colaboración entre fabricantes de soluciones de seguridad, responsables de TI y usuarios finales será esencial para mitigar el impacto de estos ataques en el tejido empresarial europeo.

(Fuente: www.cybersecuritynews.es)