Los ataques de phishing dirigidos a la educación superior se encuentran en constante evolución. A las modalidades más elaboradas, como el phishing por consentimiento, se suman otras más sencillas, como los ataques mediante códigos QR (Quick Response) maliciosos. A esta estrategia también se le conoce como quishing. De hecho, de acuerdo con un informe de Microsoft, es una modalidad de ataque cada vez recurrente en las universidades.

Son varias las razones por las que prolifera el quishing. Por una parte, las aplicaciones de correo electrónico ya son capaces de filtrar la mayoría de los mensajes que contienen URL maliciosas; por otra, los códigos QR son cada vez más ubicuos. Se encuentran lo mismo en folletos informativos que en pases de estacionamiento, formularios diversos y hasta en comunicados institucionales.

Incluso forman parte de correos electrónicos cuyas plataformas no pueden detectarlos como maliciosos. Esto se debe a que la mayoría de los filtros de correo electrónico verifican el contenido del mensaje para bloquear las URL sospechosas, pero no pueden filtrar los códigos QR. Dado que estos suelen incluir enlaces abreviados, las plataformas no pueden interpretar fácilmente hacia donde dirigen la conexión. Por ende, el quishing es más escurridizo y puede burlar más fácilmente las defensas.

Precauciones ante el quishing

Por otra parte, los códigos QR abundan en los entornos universitarios. Resultan muy convenientes, dado que para leerlos, basta con apuntar a ellos la cámara del teléfono o tableta. Además de que su lectura es 10 veces más rápida que la de otros códigos, pueden almacenar gran cantidad de información: hasta 7,000 caracteres. Es por ello que se les encuentra en volantes, carteles o incluso páginas web.

Esto crea un ambiente propicio para el quishing. Dado que los dispositivos móviles tienden a ser menos seguros que las computadoras portátiles o de escritorio, son mayores las posibilidades de que los códigos QR maliciosos tengan éxito. Es por ello que se utilizan con frecuencia para robar credenciales de acceso a los recursos universitarios o para distribuir malware.

Algo que alienta el uso de quishing es la facilidad para generar códigos QR con aplicaciones legítimas. Por ello es muy importante que en las universidades se utilicen dispositivos y navegadores con defensas modernas. Inclusive aquellas en las que no suele pensarse, como antivirus o cortafuegos para teléfonos y tabletas. Omitirlos puede resultar costoso.

Por ejemplo, si el quishing conduce a sitios que emulan otros legítimos en los que se deben hacer pagos (como un banco o una tienda en línea), los usuarios perder información personal —y dinero— a manos de los hackers. Además, muchos sitios web inician descargas automáticas de software apenas se establece la conexión. Por ende, tan sólo acceder a ello puede resultar en la descarga e instalación de algún malware.

En suma: los usuarios de dispositivos móviles deben estar conscientes de que el quishing es una amenaza real. Por su parte, las universidades deben difundir información y capacitar a alumnos, profesores y personal administrativo sobre las medidas mínimas de seguridad que deben adoptar para proteger sus dispositivos.