Salta al contingut
🛡️ Seguretat QR

Què és el quishing? El phishing que viatja dins d'un codi QR

«Quishing» és la barreja de QR i phishing: un frau on l'enllaç maliciós no arriba com un text clicable, sinó amagat dins d'un codi QR. La víctima l'escaneja confiant en el context —un cartell, un parquímetre, una factura— i acaba en una web que imita la de sempre. Aquí t'expliquem com funciona, què n'han dit les institucions i què pots fer si ets tu qui emet els codis.

Fonts institucionals: INCIBE i FBI/IC3 Sense sobrepromeses

Explicat amb honestedat Ancorat a fonts oficials Cap xifra de venedor com a afirmació GDPR i dades a la UE
Com funciona

Per què un codi QR és un bon amagatall per a un enllaç dolent

L'atac no és tècnicament sofisticat. Explota tres coses que un QR té «de sèrie».

Un QR no diu qui l'ha fet

El quadrat de píxels no porta cap segell d'origen. A simple vista, un codi legítim i una imitació són idèntics: només es distingeixen en obrir l'enllaç, quan sovint ja és tard.

Esquiva el perímetre de seguretat

El QR mou el clic del correu corporatiu —filtrat— cap al mòbil personal, sense les mateixes proteccions. Per a molts filtres, una imatge no és un enllaç a analitzar.

El context fa la feina de convèncer

Un adhesiu sobre un parquímetre, un cartell a la paret o una factura amb el logo correcte donen la confiança que l'atacant necessita. La víctima no dubta del codi perquè confia en l'entorn.

Què diuen les institucions

No és una alarma de venedors: ho documenten els organismes oficials

Per als materials públics fem servir només fonts institucionals. Les xifres de proveïdors de seguretat les deixem com a context, mai com a afirmació.

INCIBE (Espanya)

L'Institut Nacional de Ciberseguretat ha alertat del frau amb codis QR i n'ha documentat el vector més comú: adhesius falsos enganxats sobre QR legítims de parquímetres, terrasses i carregadors elèctrics, suplantant webs d'ajuntaments i passarel·les de pagament.

INCIBE — códigos QR fraudulentos ↗

FBI / IC3 (EUA)

El centre de denúncies de delictes a internet de l'FBI (IC3) ha emès avisos oficials sobre estafes amb codis QR, com els paquets no sol·licitats amb un QR a la caixa. El quishing ja apareix fins i tot en operacions atribuïdes a actors estatals.

FBI IC3 — avís públic ↗

GS1 (estàndards)

L'organisme dels estàndards de codis de barres i QR ho diu clar: la confiança d'un codi no ve del quadrat de píxels, sinó del domini de marca que hi ha al darrere. És exactament la peça que el quishing intenta falsejar.

GS1 Digital Link ↗

Honestedat

Què impedeix —i què no— un QR firmat

Cap tecnologia «atura el quishing» del tot, i qui t'ho prometi t'està venent fum. Val la pena dir exactament què s'aconsegueix.

La firma no impedeix l'atac

Un estafador sempre podrà imprimir el seu propi QR cap al seu propi domini. Res del que facis amb els teus codis li impedeix crear-ne de nous.

La firma impedeix que se't suplantin

El que sí que aconsegueixes: que qualsevol pugui comprovar que un codi l'ha emès la teva marca. Una imitació sense la teva firma es delata en verificar-la.

El consumidor gairebé no verifica

La recerca és consistent: la majoria d'usuaris no comproven res abans d'escanejar. Per això el valor no és que milions de ciutadans verifiquin, sinó que es pugui verificar: dona resposta a l'incident i protegeix la teva reputació.

És una capa de confiança de marca, no una eina de ciberseguretat que detecti amenaces com un antivirus o un filtre de correu. La promesa exacta és autenticitat d'emissor (aquest codi el va emetre aquesta organització) i integritat de destinació (l'enllaç viu al domini de l'organització i no caducarà cap a mans de tercers).

Si ets tu qui emet QR

Tres capes per demostrar que un codi és teu

1

Domini propi

Que tots els teus QR apuntin al teu domini, no a un escurçador genèric. L'usuari veu qr.latevamarca.com, no un bit.ly qualsevol. És la bona pràctica que recomana GS1.

2

Firma d'emissor

Cada codi porta una firma criptogràfica que només la teva clau pot generar. La clau privada no surt del teu navegador; la pública es publica perquè qualsevol la pugui comprovar.

3

Verificador públic

Un verificador web obert: s'enganxa una URL o s'enfoca el codi amb la càmera i la comprovació es fa al mateix dispositiu, sense instal·lar res ni obrir compte.

Prova el verificador → Com funciona el QR firmat

Preguntes freqüents

Dubtes habituals sobre el quishing

Què vol dir quishing?

És la contracció de QR i phishing: un frau on l'enllaç maliciós arriba amagat dins d'un codi QR en lloc d'un enllaç de text. La víctima escaneja el codi i acaba en una web falsa que li demana dades o un pagament.

Per què el quishing esquiva els filtres de correu?

Un codi QR és una imatge, no un enllaç llegible. Molts filtres de correu no n'analitzen la destinació, i l'escaneig sol passar al mòbil personal, fora del perímetre de seguretat de l'empresa.

Un QR firmat atura el quishing?

No del tot, i seria deshonest prometre-ho: un atacant sempre pot imprimir el seu propi QR cap al seu propi domini. El que fa la firma és impedir que l'atac es faci passar per tu: qualsevol pot comprovar que un codi l'ha emès la teva marca i no un imitador.

Què han dit INCIBE i l'FBI sobre el quishing?

INCIBE ha documentat el frau amb codis QR a Espanya, sobretot adhesius falsos enganxats sobre QR legítims de parquímetres, terrasses i carregadors. L'FBI, a través del seu centre IC3, ha publicat avisos oficials sobre estafes que utilitzen codis QR.

Continua llegint

Cluster de seguretat QR

Aprofundeix en cada peça del problema i de la resposta.

Els teus QR, firmats i sota el teu domini

No pots aturar que algú imprimeixi el seu propi QR. Sí que pots donar a tothom una manera de comprovar que els teus són teus. Aquesta és la capa de confiança que Qmarque afegeix a cada codi.