El FBI lanza una advertencia sobre la nueva táctica del grupo “Kimsuky”, que está utilizando el “Quishing” para eludir los controles de seguridad empresariales y robar accesos a la nube de think tanks y entidades gubernamentales.
La ingeniería social ha encontrado un nuevo aliado en la geometría. Según un nuevo reporte y una alerta oficial del FBI, los hackers respaldados por el gobierno de Corea del Norte han comenzado a utilizar códigos QR como vectores de ataque principales para infiltrarse en redes occidentales.
El grupo responsable, conocido como Kimsuky (o Velvet Chollima), es infame por sus campañas de espionaje contra instituciones académicas, nucleares y políticas. Sin embargo, su adopción masiva del “Quishing” (QR Phishing) marca una evolución preocupante diseñada para explotar un punto ciego común en la ciberdefensa moderna: el teléfono móvil del empleado.
La Táctica: Saltar del PC al Móvil
El modus operandi es tan simple como efectivo:
- El Correo: La víctima, generalmente un empleado de un think tank, una universidad o una agencia gubernamental relacionada con la política exterior, recibe un correo de spear-phishing cuidadosamente elaborado. Puede ser una invitación a un evento falso o una solicitud para revisar un documento académico.
- El Cebo: En lugar de un enlace de texto (que los filtros de correo pueden analizar y bloquear), el mensaje contiene un código QR.
- El Salto: Para acceder al contenido, el usuario saca su teléfono personal y escanea el código. Esto saca la amenaza del entorno corporativo protegido (la laptop con antivirus y firewall) y la lleva a un dispositivo móvil no gestionado.
- El Robo: El código redirige a páginas de inicio de sesión falsas (Microsoft 365, Okta, portales VPN). Una vez ingresadas, las credenciales y tokens de sesión son robados en tiempo real, permitiendo a los atacantes eludir la autenticación multifactor (MFA).
¿Por qué códigos QR?
El FBI subraya que esta técnica es especialmente peligrosa por su capacidad de evasión:
- Invisibilidad: Herramientas tradicionales como el análisis de sandboxing, la reescritura de URLs y los filtros de contenido a menudo no pueden “ver” o interpretar gráficos incrustados. Para el filtro, el código QR es solo una imagen inofensiva.
- Falso Sentido de Seguridad: Los usuarios están condicionados a escanear códigos QR en restaurantes y aeropuertos, lo que reduce su nivel de sospecha frente a un código recibido por correo.
Contexto de la Amenaza
Kimsuky no es un actor nuevo, pero su persistencia es notable. A lo largo de 2025, sus campañas se dirigieron agresivamente contra organizaciones vinculadas a la seguridad nacional de EE. UU. y Corea del Sur.
Este incidente se suma a otros reportes recientes sobre tácticas norcoreanas, como el uso de la función “Encontrar mi dispositivo” de Google por parte del grupo KONNI para borrar remotamente teléfonos comprometidos y eliminar evidencias de espionaje.
Recomendaciones
- Educación: Entrenar al personal para que nunca escanee códigos QR incluidos en correos electrónicos, especialmente si solicitan iniciar sesión posteriormente.
- Tecnología: Implementar soluciones de seguridad de correo que incluyan OCR (Reconocimiento Óptico de Caracteres) capaz de leer y analizar códigos QR en adjuntos e imágenes incrustadas.
- MFA Fuerte: Utilizar llaves de seguridad físicas (FIDO2/WebAuthn) siempre que sea posible, ya que son resistentes al phishing de credenciales, incluso si el usuario es engañado por un sitio falso.
