Cómo innovó Microsoft Defender para Office 365 para hacer frente a los ataques de phishing con códigos QR

Por
Una persona observa su smartphone en una mesa con una laptop y una maceta

Por: Ramya Chitrakar, vicepresidenta corporativa de aplicaciones e identidad.

Durante el último año, la industria de la ciberseguridad se enfrentó a un aumento significativo de las campañas de phishing (suplantación de identidad) con códigos QR, con algunos ataques que aumentaron a una tasa de crecimiento del 270% mensual.1 Un código QR (abreviatura de «código de respuesta rápida») es un código de barras bidimensional que se puede escanear con un teléfono inteligente u otro dispositivo móvil equipado con una cámara. Los códigos pueden contener información como URL de sitios web, información de contacto, detalles del producto y más. Se utilizan con mayor frecuencia para llevar a los usuarios a sitios web, archivos o aplicaciones. Pero cuando los malos actores los explotan, pueden usarse para engañar a los usuarios para que comprometan de manera involuntaria sus credenciales y datos.

Protección avanzada contra phishing con Microsoft Defender para Office 365

Características únicas de las campañas de phishing con códigos QR

Al igual que con otras técnicas de phishing, el objetivo de los ataques de phishing con código QR es hacer que el usuario haga clic en un enlace malicioso que parece legítimo. A menudo utilizan correos electrónicos minimalistas para entregar códigos QR maliciosos que provocan acciones en apariencia legítimas, como restablecimientos de contraseñas o verificaciones de autenticación de dos factores. Un código QR también se puede manipular con facilidad para redirigir a las víctimas desprevenidas a sitios web maliciosos o para descargar malware justo de la misma manera que las URL.

Código QR como imagen dentro del cuerpo del correo electrónico que redirige a un sitio web malicioso.
Figura 1. Código QR como imagen dentro del cuerpo del correo electrónico que redirige a un sitio web malicioso.

Las señales de advertencia normales que los usuarios pueden notar en pantallas más grandes a menudo pueden pasar desapercibidas en los dispositivos móviles. Aunque las tácticas, técnicas y procedimientos (TTP) varían en función del actor malintencionado que esté en juego, Microsoft Defender para Office 365 ha detectado un conjunto clave de patrones en los ataques de phishing con código QR, entre los que se incluyen:

  • Redirección de URL, donde un clic o un toque no te lleva a donde esperabas, sino a una URL reenviada.
  • Texto mínimo o nulo, lo que reduce las señales disponibles para el análisis y la detección de aprendizaje automático.
  • Explotar una marca conocida o de confianza, a través de la utilización de su familiaridad y reputación para aumentar la probabilidad de interacción.
  • Explotar los canales de correo electrónico conocidos que utilizan remitentes legítimos y de confianza.
  • Una variedad de señuelos sociales, que incluyen autenticación multifactor, firma de documentos y más.
  • Incrustación de códigos QR en archivos adjuntos.

El impacto de las campañas de phishing con códigos QR en el sector de la seguridad del correo electrónico en general

Dado que la intención más común del phishing de códigos QR es el robo de credenciales, la distribución de malware o el robo financiero, las campañas de códigos QR suelen ser masivas, superan los mil usuarios y siguen el reconocimiento de la recopilación de información dirigida por parte de los malos actores.2

Los investigadores de seguridad de Microsoft empezaron a notar un aumento de los ataques basados en códigos QR en septiembre de 2023. Vimos a los atacantes transformar de manera rápida sus técnicas de dos maneras clave: en primer lugar, al manipular la forma en que se representaba el código QR (como diferentes colores y tablas) y, en segundo lugar, al manipular la URL incrustada para realizar la redirección.

La naturaleza dinámica de los códigos QR dificultó que los mecanismos tradicionales de seguridad del correo electrónico diseñados para técnicas de phishing basadas en enlaces filtraran y protegieran de manera eficaz contra este tipo de ciberataques. Una razón clave fue el hecho de que no se solía realizar un análisis exhaustivo del contenido de las imágenes para cada imagen en cada mensaje, y no representaba un estándar en la industria en el momento del aumento.

Como resultado, durante varios meses, nuestros clientes vieron un aumento en los correos electrónicos incorrectos que contenían códigos QR maliciosos a medida que adaptábamos y evolucionábamos nuestra tecnología para que fuera efectiva contra los códigos QR. Este fue un momento desafiante para nuestros clientes y los de otros proveedores de seguridad de correo electrónico. Añadimos recursos incrementales y redirigimos toda nuestra energía de ingeniería para abordar estos problemas y, en el camino, no solo entregamos nuevas innovaciones tecnológicas, sino que también modificamos nuestros procesos y modernizamos componentes de nuestra cartera para que sean más resistentes en el futuro. Ahora, estos desafíos se han abordado a través de un conjunto clave de innovaciones, y queremos compartir nuestros aprendizajes y avances tecnológicos en el futuro.

Para los malos actores, el phishing con códigos QR se ha convertido en un negocio lucrativo, y los atacantes utilizan IA y grandes modelos de lenguaje (LLM, por sus siglas en inglés) como ChatGPT para aumentar la velocidad y mejorar la credibilidad de sus ataques. Una investigación reciente de Insikt Group señaló que los malos actores pueden generar mil correos electrónicos de phishing en menos de dos horas por tan solo 10 dólares.3 Para la industria de la seguridad, esto requiere una respuesta multifacética que incluya una mejor capacitación de los empleados y un compromiso renovado con la innovación.

La necesidad de innovación en la defensa contra el phishing con códigos QR

La innovación frente al riesgo cambiante de phishing con códigos QR no solo es beneficiosa, sino imperativa. A medida que los ciberdelincuentes refinan de manera continua sus tácticas para explotar las nuevas tecnologías, las soluciones de seguridad deben evolucionar a un ritmo similar para seguir siendo eficaces. En respuesta a la creciente amenaza del phishing con códigos QR, Microsoft Defender para Office 365 tomó medidas decisivas para aprovechar el aprendizaje automático avanzado y la inteligencia artificial, al desarrollar defensas sólidas capaces de detectar y neutralizar los ataques de phishing con códigos QR en tiempo real. Nuestro equipo analizó de manera meticulosa estas amenazas cibernéticas a través de billones de señales, para obtener información valiosa sobre sus mecanismos y patrones en evolución. Este conocimiento nos ayudó a perfeccionar nuestros protocolos de seguridad y mejorar la resiliencia de nuestra plataforma con varias actualizaciones estratégicas. Como el mayor proveedor de seguridad de correo electrónico, hemos visto una disminución significativa en los intentos de phishing con códigos QR. En el apogeo, Defender para Office 365 bloqueaba 3 millones de intentos diarios y, con la entrega de protección innovadora, hemos visto que este número se reduce a 200.000 intentos de phishing de códigos QR todos los días. Este es un testimonio de que nuestra innovación tiene el efecto deseado: reducir la efectividad de los ataques basados en códigos QR y obligar a los atacantes a cambiar sus tácticas.

Phishing de código QR bloqueado por Microsoft Defender para Office 365.
Figura 2. Phishing de código QR bloqueado por Microsoft Defender para Office 365.

Entre las innovaciones y protecciones recientes que hemos implementado y mejorado en Microsoft Defender para Office 365 para ayudar a combatir el phishing con código QR se incluyen:

  • Mejoras en la extracción de direcciones URL: Microsoft Defender para Office 365 ha mejorado sus capacidades para extraer direcciones URL de códigos QR, lo que aumenta de manera sustancial la capacidad del sistema para detectar y contrarrestar los vínculos de phishing ocultos en las imágenes QR. Esta mejora permite un análisis más exhaustivo de las posibles ciberamenazas integradas en los códigos QR. Además, ahora extraemos metadatos de los códigos QR, lo que enriquece los datos contextuales disponibles durante las evaluaciones de amenazas, lo que mejora nuestra capacidad para detectar actividades sospechosas en las primeras etapas de la cadena de ataque.
  • Procesamiento avanzado de imágenes: Las técnicas avanzadas de procesamiento de imágenes en la etapa inicial del proceso de flujo de correo nos permiten extraer y registrar URL ocultas dentro de códigos QR. Esta medida proactiva interrumpe los ataques antes de que tengan la oportunidad de comprometer las bandejas de entrada de los usuarios finales, lo que permite abordar las ciberamenazas lo antes posible.
  • Búsqueda y corrección avanzadas: Para ofrecer una respuesta integral a las amenazas de códigos QR en el correo electrónico, los endpoints y las identidades con nuestras capacidades de búsqueda avanzadas, los equipos de seguridad de todas las organizaciones están bien equipados para identificar y filtrar de manera específica las actividades maliciosas vinculadas a estos códigos.
  • Resistencia del usuario frente al phishing de códigos QR: para equipar aún más a nuestra organización contra estas amenazas emergentes, Microsoft Defender para Office 365 ha ampliado sus capacidades avanzadas para incluir amenazas de códigos QR, lo que permite mantener la alineación con las plataformas de correo electrónico y las técnicas específicas de ciberataque. Nuestros sistemas de entrenamiento de simulación de ataques, junto con la configuración estándar de la selección de usuarios, la configuración de la carga útil y la programación, ahora tienen cargas útiles especializadas para el phishing de códigos QR para simular escenarios de ataque auténticos.

Lean más detalles técnicos sobre cómo cazar y responder a los ataques basados en códigos QR. Al integrar todas estas funcionalidades en la plataforma XDR de Microsoft Defender, podemos ayudar a garantizar que cualquier amenaza relacionada con el código QR identificada en los correos electrónicos se analice de manera exhaustiva junto con los datos de identidad y punto de conexión, lo que crea una postura de seguridad sólida que aborda las amenazas en múltiples frentes.

Protéjanse contra ataques de phishing basados en códigos QR con Microsoft Defender para Office 365

Mantenerse a la vanguardia del panorama de amenazas en evolución

Las mejoras de Microsoft Defender para Office 365 para defenderse contra los ataques de phishing basados en códigos QR mostraron nuestra necesidad de avanzar más rápido en la seguridad del correo electrónico y la colaboración de Microsoft. La implementación de lo anterior ha cerrado esta brecha y ha hecho que Defender para Office 365 sea efectivo contra estos ataques, y a medida que se expande el uso de códigos QR, nuestras tácticas defensivas ahora avanzarán por igual para combatirlos.

Nuestra inversión continua en el análisis del panorama de las amenazas cibernéticas, el aprendizaje de las brechas pasadas y nuestra infraestructura actualizada nos permitirán manejar de manera efectiva los problemas presentes y abordar de manera proactiva los riesgos futuros más rápido a medida que surjan amenazas a través del correo electrónico y las herramientas de colaboración. Pronto compartiremos más innovaciones emocionantes que mostrarán nuestro compromiso de ofrecer la mejor solución de seguridad de correo electrónico y colaboración a los clientes.

Para obtener más información, consulten la hoja de datos sobre la protección contra la suplantación de identidad (phishing) con código QR o visiten el sitio web para obtener más información sobre Microsoft Defender para Office 365.

Conozcan más

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

1Los atacantes utilizan códigos QR como arma para robar credenciales de Microsoft a los empleados, Cybersecurity News. 22 de agosto de 2023.

2Búsqueda de phishing de código QR AiTM y compromiso del usuario, Microsoft Tech Community. 12 de febrero de 2024.

3Desafíos de seguridad Aumentan a medida que proliferan los códigos QR y el phishing generado por IA, Recorded Future. 18 de julio de 2024.