Durante el último año, la industria de la ciberseguridad enfrentó un aumento significativo en las campañas de phishing con códigos QR, y algunos ataques aumentaron a una tasa de crecimiento del 270% mensual.1 Un código QR (abreviatura de “código de respuesta rápida”) es un código de barras bidimensional que se puede escanear utilizando un teléfono inteligente u otro dispositivo móvil equipado con una cámara. Los códigos pueden contener información como URL de sitios internet, información de contacto, detalles del producto y más. Se utilizan con mayor frecuencia para llevar a los usuarios a sitios internet, archivos o aplicaciones. Pero cuando los malos actores los explotan, pueden usarse para engañar a los usuarios y hacer que comprometan sin saberlo sus credenciales y datos.
Características únicas de las campañas de phishing con códigos QR
Al igual que con otras técnicas de phishing, el objetivo de los ataques de phishing con códigos QR es lograr que el usuario haga clic en un enlace malicioso que parece legítimo. A menudo utilizan correos electrónicos minimalistas para enviar códigos QR maliciosos que provocan acciones aparentemente legítimas, como restablecimiento de contraseñas o verificaciones de autenticación de dos factores. Un código QR también se puede manipular fácilmente para redirigir a víctimas desprevenidas a sitios internet maliciosos o descargar malware exactamente de la misma manera que las URL.
Figura 1. Código QR como imagen dentro del cuerpo del correo electrónico que redirige a un sitio internet malicioso.
Las señales de advertencia normales que los usuarios pueden notar en pantallas más grandes a menudo pueden pasar desapercibidas en los dispositivos móviles. Si bien las tácticas, técnicas y procedimientos (TTP) varían según el mal actor que esté en acción, Microsoft Defender para Workplace 365 ha detectado un conjunto clave de patrones en ataques de phishing con códigos QR, que incluyen, entre otros:
- Redirección de URL, donde un clic o un toque no lo lleva a donde esperaba, sino a una URL reenviada.
- Texto mínimo o nulo, lo que cut back las señales disponibles para el análisis y la detección del aprendizaje automático.
- Explotar una marca conocida o confiable, utilizando su familiaridad y reputación para aumentar la probabilidad de interacción.
- Explotar canales de correo electrónico conocidos que utilizan remitentes legítimos y confiables.
- Una variedad de señuelos sociales, incluida la autenticación multifactor, la firma de documentos y más.
- Incrustar códigos QR en archivos adjuntos.
El impacto de las campañas de phishing con códigos QR en la industria de la seguridad del correo electrónico en common
Dado que la intención más común del phishing con códigos QR es el robo de credenciales, la distribución de malware o el robo financiero, las campañas de códigos QR suelen ser masivas: superan los 1000 usuarios y siguen el reconocimiento de recopilación de información específica por parte de malos actores.2
Los investigadores de seguridad de Microsoft comenzaron a notar un aumento en los ataques basados en códigos QR en septiembre de 2023. Vimos a los atacantes transformar rápidamente sus técnicas de dos maneras clave: primero, manipulando la forma en que se representaba el código QR (como diferentes colores y tablas), y en segundo lugar, manipulando la URL incrustada para realizar la redirección.
La naturaleza dinámica de los códigos QR dificultaba que los mecanismos tradicionales de seguridad del correo electrónico, diseñados para técnicas de phishing basadas en enlaces, filtraran y protegieran eficazmente contra este tipo de ataques cibernéticos. Una razón clave fue el hecho de que no se realizaba comúnmente un análisis exhaustivo del contenido de las imágenes para cada imagen en cada mensaje, y no representaba un estándar en la industria en el momento del aumento.
Como resultado, durante varios meses nuestros clientes vieron un aumento en el correo electrónico incorrecto que contenía códigos QR maliciosos mientras adaptábamos y desarrollábamos nuestra tecnología para que fuera efectiva contra los códigos QR. Este fue un momento desafiante para nuestros clientes y los de otros proveedores de seguridad de correo electrónico. Agregamos recursos incrementales y redirigimos toda nuestra energía de ingeniería para abordar estos problemas y, en el camino, no solo entregamos nuevas innovaciones tecnológicas, sino que también modificamos nuestros procesos y modernizamos componentes de nuestra tubería para que sean más resilientes en el futuro. Ahora estos desafíos se han abordado a través de un conjunto clave de innovaciones y queremos compartir nuestros aprendizajes y avances tecnológicos en el futuro.
Para los malos actores, el phishing de códigos QR se ha convertido en un negocio lucrativo y los atacantes están utilizando IA y modelos de lenguaje grande (LLM) como ChatGPT para aumentar la velocidad y mejorar la credibilidad de sus ataques. Una investigación reciente de Insikt Group señaló que los delincuentes pueden generar 1.000 correos electrónicos de phishing en menos de dos horas por tan solo 10 dólares.3 Para la industria de la seguridad, esto requiere una respuesta multifacética que incluya una mejor capacitación de los empleados y un compromiso renovado con la innovación.
La necesidad de innovar en la defensa contra el phishing con códigos QR
La innovación ante la evolución del riesgo de phishing de códigos QR no sólo es beneficiosa, sino que es imperativa. A medida que los ciberdelincuentes perfeccionan continuamente sus tácticas para explotar nuevas tecnologías, las soluciones de seguridad deben evolucionar a un ritmo related para seguir siendo efectivas. En respuesta a la creciente amenaza del phishing de códigos QR, Microsoft Defender para Workplace 365 tomó medidas decisivas para aprovechar el aprendizaje automático avanzado y la IA, desarrollando defensas sólidas capaces de detectar y neutralizar los ataques de phishing de códigos QR en tiempo actual. Nuestro equipo analizó meticulosamente estas ciberamenazas a través de billones de señales, obteniendo información valiosa sobre sus mecanismos y patrones en evolución. Este conocimiento nos ayudó a perfeccionar nuestros protocolos de seguridad y mejorar la resiliencia de nuestra plataforma con varias actualizaciones estratégicas. Como el mayor proveedor de seguridad de correo electrónico, hemos visto una disminución significativa en los intentos de phishing con códigos QR. En su apogeo, Defender para Workplace 365 bloqueaba 3 millones de intentos diarios y, con la entrega de protección innovadora, hemos visto este número reducirse a 200 000 intentos de phishing con códigos QR cada día. Esto es una prueba de que nuestra innovación está teniendo el efecto deseado: reducir la efectividad de los ataques basados en códigos QR y obligar a los atacantes a cambiar sus tácticas.
Figura 2. Phishing de código QR bloqueado por Microsoft Defender para Workplace 365.
Las innovaciones y protecciones recientes que hemos implementado y mejorado en Microsoft Defender para Workplace 365 para ayudar a combatir el phishing de códigos QR incluyen:
- Mejoras en la extracción de URL: Microsoft Defender para Workplace 365 ha mejorado sus capacidades para extraer URL de códigos QR, aumentando sustancialmente la capacidad del sistema para detectar y contrarrestar enlaces de phishing ocultos dentro de imágenes QR. Esta mejora permite un análisis más exhaustivo de posibles ciberamenazas integradas en códigos QR. Además, ahora extraemos metadatos de los códigos QR, lo que enriquece los datos contextuales disponibles durante las evaluaciones de amenazas, mejorando nuestra capacidad para detectar actividades sospechosas en las primeras etapas de la cadena de ataque.
- Procesamiento de imágenes avanzado: Las técnicas avanzadas de procesamiento de imágenes en la etapa inicial del proceso de flujo de correo nos permiten extraer y registrar URL ocultas dentro de códigos QR. Esta medida proactiva interrumpe los ataques antes de que tengan la oportunidad de comprometer las bandejas de entrada de los usuarios finales, abordando las ciberamenazas lo antes posible.
- Búsqueda avanzada y remediación: Para ofrecer una respuesta integral a las amenazas de códigos QR en correo electrónico, terminales e identidades con nuestras capacidades de búsqueda avanzadas, los equipos de seguridad de todas las organizaciones están bien equipados para identificar y filtrar específicamente actividades maliciosas vinculadas a estos códigos.
- Resiliencia del usuario contra el phishing de códigos QR: Para equipar aún más a nuestra organización contra estas amenazas emergentes, Microsoft Defender para Workplace 365 ha ampliado sus capacidades avanzadas para incluir amenazas de códigos QR, manteniendo la alineación con plataformas de correo electrónico y técnicas específicas de ciberataque. Nuestro sistemas de entrenamiento de simulación de ataques junto con la configuración estándar de selección de usuario, configuración de carga útil y programación, ahora tienen cargas útiles especializadas para el phishing de códigos QR para simular escenarios de ataque auténticos.
Leer más detalles técnicos sobre cómo cazar y responder a ataques basados en códigos QR. Al integrar todas estas capacidades en todo el Microsoft Defender XDR plataforma, podemos ayudar a garantizar que cualquier amenaza relacionada con el código QR identificada en los correos electrónicos se analice exhaustivamente junto con los datos de identidad y de punto ultimate, creando una postura de seguridad sólida que aborde las amenazas en múltiples frentes.
Mantenerse a la vanguardia del cambiante panorama de amenazas
Las mejoras de Microsoft Defender para Workplace 365 para defenderse contra ataques de phishing basados en códigos QR mostraron nuestra necesidad de avanzar más rápido en la seguridad de la colaboración y el correo electrónico de Microsoft. La implementación de lo anterior cerró esta brecha e hizo que Defender para Workplace 365 fuera efectivo contra estos ataques y, a medida que se expanda el uso de códigos QR, nuestras tácticas defensivas ahora avanzarán igualmente para combatirlos.
Nuestra inversión continua en el análisis del panorama de las ciberamenazas, el aprendizaje de las brechas pasadas y nuestra infraestructura actualizada nos permitirán manejar de manera efectiva los problemas actuales y abordar de manera proactiva los riesgos futuros más rápido a medida que surjan amenazas a través del correo electrónico y las herramientas de colaboración. Pronto compartiremos más innovaciones interesantes que mostrarán nuestro compromiso de ofrecer a los clientes la mejor solución de seguridad de colaboración y correo electrónico.
Para más información, ver la hoja de datos sobre la protección contra el phishing de códigos QR o visita el sitio internet para obtener más información sobre Microsoft Defender para Workplace 365.
Más información
Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio internet. Marcar el Weblog de seguridad para mantenerse al día con nuestra cobertura experta en temas de seguridad. Además, síguenos en LinkedIn (Seguridad de Microsoft) y X (@MSFTSeguridad) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Los atacantes utilizan códigos QR como armas para robar las credenciales de Microsoft de los empleadosNoticias de ciberseguridad. 22 de agosto de 2023.
2Buscando códigos QR AiTM Phishing y compromiso del usuarioComunidad tecnológica de Microsoft. 12 de febrero de 2024.
3Los desafíos de seguridad aumentan a medida que proliferan los códigos QR y el phishing generado por IAFuturo grabado. 18 de julio de 2024.
