Un aparcamiento en Bratislava. Alguien ha estado pegando códigos QR en los parabrisas. Parecen multas de aparcamiento. No lo son.
Escanee uno con su teléfono y aterrizará en una página idéntica a un portal del gobierno eslovaco. Un formulario le pide su nombre, su número de identificación nacional y los datos de su documento de identidad. Cree que tiene una multa. Quiere resolverla rápido. Y ese es el momento en que el atacante obtiene lo que necesita.
El CSIRT nacional de Eslovaquia (Computer Security Incident Response Team), que opera bajo el Ministerio de Inversiones, Desarrollo Regional e Informatización (conocido por sus siglas eslovacas MIRRI), detectó esta campaña a principios de abril y emitió una advertencia pública. Pero las pegatinas QR son solo una parte.
Los sitios web gubernamentales falsos
El CSIRT encontró platby-mvsr.sk, que se hace pasar por un portal de pagos del Ministerio del Interior. Y sk-slovensko.web.app, un clon de slovensko.sk, el portal oficial de administración electrónica de Eslovaquia, básicamente el equivalente de gov.uk o id.me, donde los ciudadanos acceden a declaraciones de impuestos, buzones electrónicos y servicios públicos.
El clon estaba alojado en Firebase, la plataforma de alojamiento gratuita de Google. Gratis de configurar. Certificado HTTPS automático. Un atacante puede tener un sitio web gubernamental falso y convincente en funcionamiento en menos de una hora. ¿El icono del candado en su navegador? Solo significa que la conexión está cifrada. No dice nada sobre quién está al otro lado.
Ambos sitios tenían los logotipos correctos, los colores correctos, los formularios correctos. Algunos pedían un pago directo, supuestamente por tramitar un documento oficial.
La campaña también usa mensajes SMS que afirman que su acceso a los servicios gubernamentales se desactivará en un plazo de 24 horas a menos que se verifique a través de un enlace. Para los eslovacos, perder el acceso a su buzón electrónico de slovensko.sk es una preocupación real, porque allí llega la correspondencia oficial del gobierno. Así que la gente hace clic.
Por qué la táctica de las pegatinas QR importa a escala global
Esto no es solo un problema eslovaco. El phishing basado en QR (a veces llamado «quishing») lo han notificado equipos CERT de toda Europa: Chequia, Polonia, Austria y más allá. Pero el ángulo de la pegatina física es lo que hace interesante la campaña eslovaca.
La mayoría de la gente tiene al menos una vaga idea de que el phishing llega por correo electrónico. Las pegatinas físicas eluden ese instinto por completo. Algo impreso. Colocado en su coche por una persona. Eso parece oficial. Como si una autoridad hubiera actuado.
Y cuando escanea un código QR con su teléfono, de repente queda fuera de todo perímetro de seguridad que su empresa ha construido. Sin cortafuegos corporativo. Sin filtrado de correo. Sin protección de endpoints. Solo un navegador móvil y una página falsa.
El riesgo empresarial del que nadie habla
Si un empleado escanea uno de estos códigos QR en un teléfono personal que también contiene el correo corporativo y el acceso a los sistemas internos, una contraseña comprometida se convierte en una vía hacia la infraestructura de la empresa. Las políticas BYOD lo agravan, porque la vida personal y la laboral comparten el mismo dispositivo, el mismo navegador y las mismas contraseñas guardadas.
Y si los atacantes clonan sitios web de ministerios, pueden clonar con la misma facilidad su portal de clientes o su sistema de facturación. Un dominio como invoicing-yourcompany.com cuesta unos pocos euros. En una hora, su página de inicio de sesión tiene un gemelo que usted no controla. Cuando un cliente cae en el phishing a través de él, no culpará al atacante. Le culpará a usted.
Los números de teléfono de las empresas no son difíciles de encontrar. Registros mercantiles públicos, perfiles de LinkedIn, sitios web corporativos. Las campañas de phishing por SMS pueden dirigirse a su equipo de ventas con la misma facilidad que a los ciudadanos particulares.
Para poner en contexto: ENISA sitúa la puntuación media de preparación en ciberseguridad de la UE en 62,65 sobre 100. Las puntuaciones individuales de cada país no son públicas, pero campañas como esta aparecen por todo el bloque. El ataque es el mismo en todas partes. Solo cambia el idioma.
Qué hacer realmente al respecto
Si no tiene DMARC configurado en modo reject en su dominio, los atacantes pueden enviar correos que parecen provenir de usted. Sus clientes los reciben. Usted nunca se entera. Configurar SPF + DKIM + DMARC lleva horas, no semanas.
El bloqueo a nivel de DNS mediante servicios como Cloudflare Gateway o Cisco Umbrella puede detener dominios de phishing conocidos antes de que la página empiece siquiera a cargarse. Para empresas de menos de 100 personas, existen planes gratuitos.
Es probable que su política de seguridad aún no mencione los códigos QR. Debería hacerlo. La regla cabe en una línea. No escanear códigos QR sin verificar en dispositivos de la empresa, y comprobar las pegatinas físicas antes de actuar. Eso cubre una brecha en la que la mayoría de las organizaciones no ha pensado. Los códigos QR incrustados en correos electrónicos son casi siempre sospechosos.
Envíe a su equipo los dominios concretos que el CSIRT señaló. Incluya capturas de pantalla de las páginas falsas. Los mensajes genéricos de «tenga cuidado» se ignoran. Una captura de pantalla de un formulario falso que pide un número de identificación nacional se queda grabada en la memoria.
Cómo detectar un sitio web gubernamental falso
Los sitios del gobierno eslovaco funcionan en .gov.sk o slovensko.sk. Cualquier cosa en .web.app, .site, .online, o con guiones que imiten el nombre de un ministerio es sospechosa. Si un sitio pide números de identificación nacional a través de un formulario simple sin autenticación eID, no es legítimo. Y si llega un SMS con un plazo de 24 horas, sepa que ningún servicio gubernamental real le revocará el acceso tan rápido sin una notificación postal previa.
Ese patrón se mantiene en toda Europa. Compruebe el dominio. Compruebe el método de autenticación. Si parece urgente, vaya más despacio.
Impartimos talleres de reconocimiento de phishing para equipos de empresa. 90 minutos, prácticos, con ejemplos reales, incluidos los eslovacos que el CSIRT señaló este mes. Los hacemos porque hemos visto cómo reacciona la gente cuando ve una página de phishing local real en pantalla. Le hace clic de una forma que las advertencias abstractas nunca logran. Si le resulta útil, póngase en contacto.
Lecturas relacionadas: