AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ciberdelincuentes emplean arte ASCII para generar pseudocódigos QR con enlaces de phishing

admin

## Introducción

En un giro innovador de las técnicas de ingeniería social, los ciberdelincuentes han comenzado a explotar arte ASCII para crear representaciones visuales de códigos QR dentro de correos electrónicos y mensajes de texto. Estos pseudocódigos QR, aunque no son legibles por escáneres tradicionales, engañan visualmente a los usuarios haciéndoles creer que están interactuando con un enlace legítimo, cuando en realidad están siendo redirigidos a páginas de phishing diseñadas para la recolección de credenciales u otra información sensible.

## Contexto del Incidente o Vulnerabilidad

Durante el primer semestre de 2024, diversos equipos de respuesta ante incidentes y análisis de amenazas han detectado campañas de phishing dirigidas a empleados de empresas europeas, especialmente en España, Francia y Alemania. Los atacantes, aprovechando el auge de la digitalización y la normalización del uso de códigos QR en procesos empresariales (acceso a redes WiFi, autenticación MFA, gestión de visitas, etc.), insertan en sus correos un “código QR” generado completamente con caracteres ASCII. Este arte visual, conocido como pseudográfico, simula la apariencia de un QR legítimo e incluye un enlace camuflado en el propio texto o en la imagen adjunta.

A diferencia de los ataques tradicionales basados en archivos o enlaces directos, esta táctica busca eludir los filtros antiphishing y las soluciones de sandboxing, que suelen analizar archivos adjuntos o URLs explícitas, pero no interpretan contenido visual generado con caracteres.

## Detalles Técnicos

### CVE y vectores de ataque

Actualmente, no existe un CVE específico asociado a esta técnica, ya que explota vectores de ingeniería social y no una vulnerabilidad técnica directa. Sin embargo, está registrada en las bases de datos de TTP (Tactics, Techniques and Procedures) como una variante del phishing avanzado.

– **TTP MITRE ATT&CK:** T1566.001 (Phishing: Spearphishing Attachment) y T1204 (User Execution).
– **Vectores de ataque:** Email (principal), mensajería instantánea y plataformas colaborativas (Microsoft Teams, Slack).
– **IoC (Indicadores de Compromiso):**
– Correos con bloques de texto ASCII que simulan códigos QR.
– Enlaces disfrazados bajo texto ancla en mensajes HTML o incrustados en imágenes.
– Dominios recientes o con reputación baja, a menudo alojados en servicios gratuitos (por ejemplo, Glitch, Firebase, o sitios .tk/.ml).

### Herramientas y frameworks utilizados

Aunque no se han identificado kits automatizados en Metasploit o Cobalt Strike para esta técnica concreta, algunos scripts en Python y PowerShell están circulando en foros de hacking y canales de Telegram, facilitando la creación automática de estos pseudocódigos QR.

## Impacto y Riesgos

El principal riesgo reside en la capacidad de estos pseudocódigos para sortear soluciones antiphishing basadas en IA y sistemas de filtrado tradicionales. Según datos de Kaspersky y otros vendors, se estima que hasta el 12% de los intentos de phishing en organizaciones grandes durante 2024 han incluido variantes de arte ASCII en algún componente del mensaje.

Las consecuencias pueden ser significativas:
– **Robo de credenciales corporativas** y acceso a sistemas internos.
– **Despliegue de malware** mediante enlaces de descarga disimulados.
– **Pérdidas económicas** derivadas de fraudes de pago o filtración de datos, que pueden superar los 250.000 € por incidente en casos de acceso a información financiera o de clientes (según ENISA).
– **Incumplimiento de normativas** como el GDPR o la futura NIS2, exponiendo a las empresas a sanciones administrativas.

## Medidas de Mitigación y Recomendaciones

1. **Formación y concienciación del usuario:** Es imprescindible actualizar las campañas de seguridad para informar sobre este nuevo vector, mostrando ejemplos reales y subrayando que no todo lo que parece un QR debe ser escaneado o enlazado.
2. **Filtrado avanzado de contenidos:** Configurar los motores antispam para identificar patrones de texto que imiten códigos QR y bloquear mensajes sospechosos.
3. **Revisión manual de enlaces sospechosos:** Instruir a los usuarios para que pasen el ratón sobre los enlaces antes de hacer clic y que desconfíen de códigos QR en formato texto.
4. **Análisis forense automatizado:** Integrar soluciones SOAR y EDR capaces de detectar comportamientos anómalos asociados a la apertura de enlaces incrustados en arte ASCII.
5. **Restricción de dominios externos:** Aplicar listas blancas para enlaces en emails corporativos y restringir la apertura de URLs potencialmente peligrosas.

## Opinión de Expertos

Según Jorge Ramió, experto en ciberseguridad y profesor universitario, “el uso de arte ASCII para simular QR es una evolución natural de la ingeniería social que explota la confianza del usuario en la iconografía digital. Si bien técnicamente no representa un avance en malware, sí amplía la superficie de ataque social y dificulta la detección automatizada”.

Por su parte, analistas de Kaspersky y Proofpoint advierten que la tendencia irá en aumento, especialmente en sectores donde el QR ya es parte de los procesos de autenticación y onboarding de empleados.

## Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus políticas de correo y concienciación, así como actualizar sus sistemas de detección para considerar este nuevo vector. Los usuarios, por su parte, deben ser escépticos ante cualquier QR no generado por canales oficiales o que se presente en formatos inusuales.

La adaptación de la legislación europea, con la entrada en vigor de NIS2, obligará a reportar incidentes de ingeniería social avanzada que hayan tenido impacto, por lo que las organizaciones deben estar preparadas para responder y documentar estos ataques.

## Conclusiones

La creatividad de los ciberdelincuentes sigue empujando los límites de la ingeniería social, y el uso de arte ASCII para crear pseudocódigos QR es una muestra de ello. El desafío para el sector consiste en adaptar tanto la tecnología como la formación de los usuarios para mitigar ataques cada vez más sofisticados que buscan explotar la confianza y las rutinas digitales del día a día.

(Fuente: www.kaspersky.com)