Quishing: el nuevo ciberataque dirigido a las empresas

Cada poco tiempo surgen nuevas ciberamenazas. Los hackers no descansan. Uno de los últimos ciberataques que se han conocido es el quishing, dirigido especialmente a los trabajadores y a las organizaciones. Lo ha revelado Sophos, líder mundial en soluciones de ciberseguridad, en su más reciente informe de Sophos X-Ops.

Los expertos de esta compañía alertan del surgimiento de una nueva técnica de ataque llamada quishing, en la que los cibercriminales utilizan códigos QR fraudulentos para evadir las medidas de seguridad contra el phishing. Este método apunta directamente a vulnerar los sistemas empresariales mediante el engaño a empleados.

¿Qué es el quishing y cómo opera?

El quishing consiste en el envío de correos electrónicos con documentos PDF que contienen códigos QR maliciosos. Estos mensajes suelen disfrazarse como comunicaciones oficiales de la empresa, relacionados con nóminas, beneficios laborales u otros temas de recursos humanos.

Los códigos QR, al no ser legibles por las máquinas, obligan al usuario a escanearlos desde sus dispositivos móviles, que generalmente están menos protegidos que los ordenadores corporativos. Una vez escaneado, el código redirige al empleado a una página web falsa diseñada para robar sus credenciales y tokens de autenticación multifactor (MFA), lo que facilita a los atacantes el acceso a los sistemas de la empresa.

Según Andrew Brandt, investigador principal de Sophos X-Ops, los ataques de quishing no solo están aumentando en volumen, sino también en sofisticación. «Los documentos PDF utilizados son cada vez más convincentes, lo que hace más difícil identificar el fraude a simple vista», señala esta voz experta.

Un ecosistema delictivo en expansión

El informe también destaca que algunos grupos de ciberdelincuentes han comenzado a ofrecer herramientas «as-a-service» para facilitar campañas de phishing con códigos QR. Estas plataformas permiten eludir sistemas como CAPTCHA, generan proxies de direcciones IP para evitar detecciones automáticas y ofrecen servicios avanzados para capturar credenciales y tokens MFA.

Recomendaciones para protegerse del quishing

Sophos X-Ops ha elaborado una serie de medidas que las empresas pueden implementar para proteger sus sistemas y empleados:

1. Estar alerta ante correos internos sospechosos: Los ciberdelincuentes suelen aprovechar temas relacionados con RR.HH., salarios o beneficios para engañar a los empleados.
2. Instalar soluciones de seguridad móvil: Sophos Intercept X para móviles incluye un escáner de códigos QR que identifica enlaces maliciosos y alerta al usuario.
3. Supervisar inicios de sesión inusuales: Las herramientas de gestión de identidad pueden detectar accesos fuera de lo común.
4. Habilitar acceso condicional: Aplicar restricciones basadas en ubicación, estado del dispositivo y nivel de riesgo.
5. Mejorar la visibilidad del sistema: Contar con registros avanzados para identificar y rastrear accesos sospechosos.
6. Implementar filtros avanzados de correo: Sophos planea ampliar su solución de detección de códigos QR fraudulentos a archivos adjuntos en 2025.
7. Fomentar la comunicación interna: Es esencial que los empleados notifiquen anomalías al equipo de ciberseguridad.
8. Revocar accesos comprometidos: Las empresas deben estar preparadas para actuar rápidamente ante indicios de credenciales vulneradas.

El camino hacia una ciberseguridad más sólida

Sophos enfatiza que, aunque las técnicas de ataque evolucionan constantemente, es posible mitigar estas amenazas con las herramientas adecuadas, una cultura de concienciación en ciberseguridad y alianzas estratégicas con proveedores especializados.

El quishing representa un nuevo desafío para las empresas, pero también una oportunidad para reforzar sus sistemas y procedimientos de seguridad en un entorno digital cada vez más hostil.