1 de junio de 2026
Phishing con Código QR: Cómo Funciona el "Quishing" y Cómo Evitarlo
El phishing con código QR, o "quishing", es una amenaza de ciberseguridad emergente. Los atacantes incrustan enlaces maliciosos en códigos QR para robar credenciales de inicio de sesión, información personal y datos de pago.
Esta guía explica cómo funciona el quishing y cómo defenderte.
¿Qué es el quishing?
El quishing es un ataque de phishing que utiliza códigos QR en lugar de enlaces o archivos adjuntos de correo electrónico tradicionales. El código QR lleva a un sitio web fraudulento diseñado para robar información.
Por qué los atacantes usan códigos QR
| Razón | Explicación |
|---|---|
| URL oculta | No se puede ver el destino antes de escanear |
| Factor de confianza | Los códigos QR parecen legítimos |
| Evita filtros de correo | Las imágenes en correos evitan filtros basados en texto |
| Orientación móvil | Las pantallas de teléfonos muestran menos detalles de la URL |
Cómo funcionan los ataques de quishing
Patrón de ataque
- Crear: El atacante crea un sitio web falso que parece legítimo
- Código: El atacante genera un código QR que enlaza al sitio falso
- Distribuir: El código QR se coloca en carteles, pegatinas o en correos electrónicos
- Trampa: La víctima escanea el código y es dirigida al sitio falso
- Cosechar: La víctima ingresa credenciales, que son capturadas
Señuelos comunes
| Señuelo | Ejemplo |
|---|---|
| Alerta de cuenta | "Tu cuenta ha sido bloqueada. Escanea para verificar." |
| Pago necesario | "Escanea para pagar tu saldo pendiente." |
| Oferta exclusiva | "Escanea para un descuento especial." |
| Entrega de paquete | "Escanea para rastrear tu paquete." |
| Acceso a evento | "Escanea para entrada al evento." |
Ejemplos reales de quishing
Estafas de estacionamiento
Los atacantes colocan pegatinas de códigos QR en parquímetros, enlazando a páginas de pago falsas.
Quishing basado en correo electrónico
Correos electrónicos que contienen imágenes de códigos QR con mensajes urgentes:
Asunto: Tu contraseña de Microsoft 365 expira hoy
Escanea el código QR a continuación para verificar tu cuenta y mantener tu correo electrónico activo.
[IMAGEN DE CÓDIGO QR]
Equipo de Seguridad de Microsoft
Configuración falsa de 2FA
Los atacantes envían códigos QR que parecen ser para la configuración de autenticación de dos factores pero en realidad enlazan a sitios de robo de credenciales.
Cómo detectar el quishing
Inspección visual
| Señal de alerta | Qué verificar |
|---|---|
| Código QR inesperado | ¿Esperabas ver un código QR aquí? |
| Urgencia en el mensaje | ¿El mensaje te presiona a actuar rápidamente? |
| Saludo genérico | "Estimado usuario" en lugar de tu nombre |
| Diseño deficiente | Erratas, logotipos de baja calidad, formato extraño |
| Pegatina superpuesta | Código QR en una pegatina, no impreso directamente |
Inspección técnica
| Herramienta | Cómo ayuda |
|---|---|
| Vista previa de URL | La cámara del teléfono muestra la URL antes de abrir |
| Escáner QR con vista previa | Aplicaciones que muestran la URL decodificada |
| Verificador de enlaces | Pega la URL en un servicio de verificación de enlaces |
Protección de tu organización
Capacitación de empleados
| Tema de capacitación | Mensaje clave |
|---|---|
| Conciencia sobre códigos QR | Los códigos QR pueden llevar a cualquier parte |
| Vista previa de URL | Siempre verifica la URL antes de abrir |
| Reporte | Reporta códigos QR sospechosos a TI |
| Verificación | Verifica los códigos QR con la fuente |
Controles técnicos
| Control | Implementación |
|---|---|
| Filtrado de URL | Bloquear dominios maliciosos conocidos |
| Gestión de dispositivos móviles | Aplicar políticas de seguridad en teléfonos de trabajo |
| Política de escáner QR | Aprobar aplicaciones específicas de escaneo QR |
| Autenticación multifactor | Incluso si roban credenciales, MFA bloquea el acceso |
Caso de estudio: Quishing en edificio de oficinas
Los atacantes colocaron carteles falsos con códigos QR en el vestíbulo de un edificio de oficinas, afirmando ofrecer "café gratis" a los empleados que escanearan.
El ataque: El código QR llevaba a una página de inicio de sesión falsa de Microsoft 365.
El resultado: Más de 30 empleados ingresaron sus credenciales antes de que se alertara a TI.
La solución: TI restableció todas las contraseñas afectadas e implementó capacitación obligatoria sobre seguridad de códigos QR.
Qué hacer si eres víctima
- Cambia las contraseñas inmediatamente en la cuenta afectada
- Activa MFA si no está ya activada
- Contacta al equipo de TI/seguridad en tu organización
- Monitorea las cuentas para detectar actividad sospechosa
- Reporta el ataque a las autoridades
Creación de códigos QR seguros para tu negocio
Crea códigos QR seguros — usa códigos QR dinámicos con seguimiento para monitorear actividades inusuales.
Conclusión
El quishing es una amenaza creciente, pero la concienciación es la mejor defensa. Siempre previsualiza las URLs antes de abrir, verifica las fuentes de los códigos QR y nunca ingreses credenciales en un sitio al que llegaste mediante un código QR no solicitado.
Crea códigos QR verificados — genera códigos QR con prácticas seguras y monitoreo para tu negocio.