Phishing con código QR: la nueva estafa que no puede ignorar

Los códigos QR están por todas partes, desde las cartas de los restaurantes hasta las puertas de las oficinas. Pero ahora también son un arma en manos de los ciberdelincuentes.
Los llamados ataques de "quishing" (phishing de códigos QR) están creciendo rápidamente, y la mayoría de los empleados ni siquiera saben que existen. Si su formación de concienciación sigue centrándose sólo en los enlaces de los correos electrónicos, es hora de actualizar su programa.

Ataques con códigos QR

¿Qué es el phishing de código QR?

El phishing de código QR consiste en incrustar enlaces maliciosos en códigos QR que, al ser escaneados, dirigen a los usuarios a sitios web falsos, ladrones de credenciales o descargas de malware. Estos ataques son muy eficaces porque:

  • Eludir los filtros de spam

  • Aparecer en lugares donde los usuarios no esperan amenazas

  • Explotar una falsa sensación de seguridad física (por ejemplo, en materiales impresos).

Basta con un simple escaneo. En los dispositivos móviles, donde la visibilidad y la precaución son reducidas, los usuarios a menudo ni siquiera ven la URL completa.

 

Ejemplos reales de quishing en acción

Los ciberdelincuentes se están volviendo creativos:

  • Estafas en parquímetros: Pegatinas QR falsas colocadas sobre parquímetros legítimos dirigen a las víctimas a sitios de phishing que solicitan información de pago.

  • Phishing corporativo: los atacantes incluyen códigos QR en correos electrónicos o folletos impresos para eludir los controles de seguridad del correo electrónico.

  • Recolectores de credenciales informáticas: Los códigos escaneables pretenden redirigir a los usuarios a páginas de "autenticación multifactor", pero en realidad roban los datos de inicio de sesión.

En 2024, varias empresas europeas denunciaron estafas en el ámbito de los recursos humanos que utilizaban códigos QR en los anuncios de contratación. Se engañaba a las víctimas para que subieran documentos personales.

Por qué funciona tan bien el quishing

Varios factores psicológicos y técnicos hacen que el phishing de código QR sea especialmente peligroso:

  • Los usuarios confían más en la señalización física que en los mensajes digitales

  • No hay previsualización visible del enlace: A diferencia de los correos electrónicos, los códigos QR ocultan la URL

  • Comportamiento mobile-first: La gente actúa rápido y piensa más tarde en los teléfonos

  • Punto ciego en materia de seguridad: La mayoría de los cursos de concienciación no cubren los riesgos de los códigos QR

Y a diferencia del phishing tradicional, estos ataques pueden lanzarse en entornos fuera de la red y fuera de línea: carteles, tarjetas de visita, transporte público, etc.

Ataques con códigos QR

Cómo defenderse del phishing de códigos QR

Para reducir el riesgo, las organizaciones deben actuar ahora:

  1. Actualizar la formación sobre phishing para incluir las estafas basadas en QR

  2. Educar al personal para que previsualice los enlaces QR antes de abrirlos (muchas aplicaciones lo permiten).

  3. Desalentar el escaneo ciego de códigos QR desconocidos o no oficiales

  4. Utilice lectores de códigos QR seguros que validen los destinos

  5. Simule ataques de quishing como parte de sus pruebas de phishing

Consejo: Haz hincapié en que incluso un código QR impreso puede ser un enlace de suplantación de identidad: físico no significa seguro.

La conciencia es su mejor defensa

Como todo nuevo método de phishing, el quishing se aprovecha de la confianza, la precipitación y las lagunas en la formación. Pero una vez que el personal es consciente de la táctica, resulta mucho menos eficaz.

La seguridad no consiste sólo en bloquear enlaces, sino en capacitar a las personas para que reconozcan y se resistan a la manipulación en todas sus formas.

Si su programa de concienciación no incluye el phishing QR, es hora de revisar su estrategia.

 

Simulación de pesca

  •  

Reflexiones finales

El phishing de código QR no es una amenaza futurista: ya está aquí. A medida que los atacantes evolucionan en sus tácticas, encuentran nuevas formas de explotar las herramientas cotidianas en las que confiamos, incluido el humilde código QR.

Este tipo de phishing funciona precisamente porque se integra en los flujos de trabajo modernos y elude los controles de seguridad tradicionales. Por eso es fundamental formar al personal, no solo a la tecnología.

La mejor defensa es una plantilla informada. Si amplía su formación de concienciación para incluir amenazas emergentes como el quishing, se asegurará de que su equipo permanece alerta, incluso cuando la amenaza llega de forma inesperada.

Al fin y al cabo, en ciberseguridad, lo que la gente no sabe puede perjudicarte.

Utilice nuestro formulario de contacto si tiene alguna pregunta sobre cómo podemos ayudarle a usted y a su organización a protegerse de los ciberdelincuentes.

Por lo tanto, lea más sobre las configuraciones técnicas en nuestro WIKI aquí: QR Attack notas.

Nuestro canal de You Tube también tiene mucho contenido útil y relevante.