aprende a protegerte del phishing con códigos QR (quishing) en 2026 con consejos y estrategias eficaces para mantenerte a salvo de estafas y ciberamenazas.
Publicado el por Franck F.

Phishing mediante código QR (quishing): cómo protegerse en 2026

El phishing con códigos QR (quishing) está aumentando en 2026, desde pegatinas falsas para aparcamientos hasta trampas por correo electrónico. Así es como detectar los trucos antes de que un escaneo rápido salga caro.

Un parquímetro parpadea bajo la lluvia, un menú de restaurante está detrás de un soporte de plástico y un correo de “soporte de TI” pide una comprobación rápida de la cuenta. En cada caso, el siguiente paso parece inocuo: basta con escanear el cuadrado y seguir adelante. Precisamente por esa rutina phishing con códigos QR, a menudo llamado quishing, se ha convertido en uno de los formatos de estafa más efectivos de cara a 2026.

Las empresas de seguridad y los organismos públicos llevan meses haciendo un seguimiento del cambio. Keepnet Labs informó de un aumento de 5 veces en el phishing basado en QR de 2024 a 2025, mientras que los datos de una encuesta de NordVPN encontraron que el 73% de los estadounidenses escanea códigos QR sin verificar antes el destino. El atractivo para los atacantes es sencillo: el enlace está oculto en una imagen y tu teléfono suele abrirlo fuera de los controles de seguridad habituales.

El phishing con códigos QR está en aumento porque las defensas tradicionales no lo detectan

phishing con códigos QR sustituye el clásico hipervínculo azul por una imagen escaneable. La estafa sigue llevando a los mismos lugares: inicios de sesión falsos de Microsoft 365, páginas de fraude en pagos, descargas de malware o portales bancarios clonados, pero llega por una vía que muchos filtros de correo no estaban diseñados para inspeccionar.

Ese punto ciego se ha vuelto costoso. Keepnet Labs registró 249.000 correos maliciosos con códigos QR solo en noviembre de 2025, y Microsoft Security también ha advertido sobre grandes volúmenes diarios de mensajes con QR dirigidos a entornos educativos. A juzgar por la dirección de diseño informada de estas campañas, el formato funciona porque combina ingeniería social con una omisión técnica.

El problema del hábito también importa. Los códigos QR se volvieron habituales durante los años de la COVID-19, primero para menús, pagos y registros, y después para la comodidad del día a día. La gente aprendió a confiar en el gesto antes de aprender a cuestionar el destino.

Cómo funciona el phishing con códigos QR en el correo electrónico, los espacios públicos y las aplicaciones sociales

La cadena básica es sencilla. Un atacante crea una página falsa, convierte la URL maliciosa en un código QR, la distribuye por correo electrónico, pegatinas, folletos, correo postal directo o aplicaciones de mensajería, y espera a que alguien lo escanee en un teléfono.

En el correo electrónico, el truco es especialmente eficaz. Un mensaje que parece venir de Microsoft, DocuSign, RR. HH. o un banco puede incluir un código QR sin ningún enlace de texto clicable. Muchas pasarelas tradicionales analizan URLs de texto, no los píxeles dentro de una imagen, así que el mensaje puede pasar desapercibido y parecer limpio.

El quishing físico es aún más engañoso porque la confianza proviene del entorno. Una pegatina falsa colocada sobre un código legítimo en un parquímetro, un cartel de un evento, la mesa de un restaurante o una señal de transporte se aprovecha de la credibilidad del lugar. No estás confiando en la pegatina, sino en el entorno que la rodea.

LEER  CrowdStrike y Cloudflare suben en bolsa ante las crecientes demandas de ciberseguridad

En las redes sociales y las aplicaciones de chat, los atacantes añaden urgencia. Entradas gratis, actualizaciones de paquetes, alertas de cuenta u ofertas limitadas reducen el escepticismo, especialmente cuando la publicación aparece en un grupo familiar o la reenvía alguien que conoces.

Aquí es donde aparecen en la práctica las principales brechas de seguridad.

Detalles clave Por qué es importante
El código QR oculta la URL de destino No puedes juzgar el enlace a simple vista antes de escanearlo
La imagen del correo no contiene ningún enlace de texto visible Los filtros de correo heredados pueden no detectar el destino malicioso
El teléfono abre la página directamente La visita puede realizarse fuera de las protecciones del navegador corporativo
Un adhesivo público parece estar vinculado a un servicio real A menudo, los usuarios confían en la ubicación y escanean sin comprobarlo

Ese traspaso al teléfono es una parte clave de la amenaza. Si se abre un correo de trabajo en un portátil, pero el código QR se escanea en un dispositivo personal, la sesión puede eludir las herramientas de proxy corporativas, las extensiones del navegador y la supervisión interna. Es una pequeña acción con una gran brecha de seguridad.

Lo que revelan los últimos casos de quishing

Uno de los patrones más conocidos implicaba falsos avisos de reautenticación de Microsoft 365. Investigadores de seguridad y responsables de defensa empresarial han documentado campañas en las que se indicaba a los empleados que escanearan un código para restablecer el acceso o revisar un documento, solo para acabar en una página de inicio de sesión clonada que capturaba credenciales.

Las estafas bancarias siguieron un guion similar. Los clientes recibieron correos o mensajes que parecían ofrecer acceso actualizado a la banca móvil o verificación de seguridad, pero el código QR llevaba a una página de inicio de sesión fraudulenta diseñada para capturar contraseñas y códigos de un solo uso.

El IRS también puso el foco en el problema. La agencia incluyó el phishing relacionado con códigos QR en su lista de estafas fiscales Dirty Dozen de 2026, advirtiendo de que las falsas comunicaciones del IRS podrían llevar a las víctimas a páginas que solicitan números de la Seguridad Social, detalles de la declaración de impuestos e información bancaria.

Luego está el daño financiero. Informes del sector vincularon una campaña de quishing con $2,3 millones en pérdidas en una entidad financiera después de que los empleados escanearan un código en un memorando interno fraudulento. Según el flujo del ataque que se ha informado, el código QR era solo el punto de entrada; la mayor pérdida provino del acceso que abrió dentro de la organización.

Cómo protegerse del phishing con códigos QR antes y después de escanear

La defensa más eficaz es tomarse un momento para detenerse. Un código QR no es más que un acceso directo a una URL, y merece la misma desconfianza que cualquier enlace desconocido enviado por correo o mensaje de texto.

Conviene hacer varias comprobaciones cada vez, especialmente en espacios públicos o cuando hay dinero de por medio.

  1. Cuestiona el contexto. Si el código aparece en un correo inesperado, en un paquete o en una pegatina colocada sobre otro cartel, trátalo como sospechoso.
  2. Inspecciona si hay manipulación. Busca pegatinas superpuestas, bordes rasgados, distinta calidad de impresión o marcas de cinta en los códigos QR físicos.
  3. Lee la URL de vista previa. La mayoría de las cámaras de los móviles modernos muestran el destino antes de abrirlo. Comprueba la ortografía, las terminaciones del dominio y los subdominios extraños.
  4. No inicie sesión desde un escaneo no solicitado. Si un código solicita credenciales, datos de pago o confirmación de MFA, abandone la página y acceda directamente al servicio.
  5. Utilice una herramienta de análisis de códigos QR. Servicios como un escáner ScamVerify pueden decodificar la imagen antes de que visite la URL de destino.
  6. Cambie a una aplicación oficial o a una dirección escrita manualmente. Para aparcamiento, banca o entregas, la aplicación legítima suele ser más segura que el código impreso que tiene delante.
  7. Actúe con rapidez si se han introducido datos. Cambie las contraseñas, revoque las sesiones, habilite una MFA más robusta y póngase en contacto con su banco si se compartió información de pago.
LEER  Morgan Stanley destaca los 2 mejores valores de ciberseguridad para invertir en un mercado de software en alza

ScamVerify afirma que su base de datos de amenazas incluye ahora más de 8 millones de registros, incluidos 74.032 dominios de URLhaus y 60.758 indicadores de compromiso de ThreatFox. Eso no hace que ninguna herramienta sea perfecta, pero sí añade una segunda capa de escrutinio a los códigos sospechosos antes de que confíe en ellos.

Para las empresas, la solución va más allá de la concienciación de los usuarios. Los equipos de seguridad ahora necesitan herramientas de correo electrónico que inspeccionen imágenes QR, simulacros de phishing que incluyan escenarios móviles y pasos claros de respuesta ante incidentes para códigos encontrados en señalización, paquetes o documentos internos. Aquí es donde cobra importancia una planificación operativa más amplia, del mismo modo que estrategias de protección contra riesgos para las empresas modernas o el refuerzo de las comunicaciones en torno a un sistema telefónico empresarial alojado.

Por qué el phishing mediante códigos QR es ahora un problema empresarial, no solo una estafa al consumidor

Resulta tentador ver el quishing como un problema de fraude callejero, la pegatina falsa de aparcamiento, el menú clonado, el folleto fraudulento en una estación. Esa imagen está desfasada. Lo más importante es que phishing con códigos QR ahora se sitúa en la intersección entre la seguridad móvil, el robo de identidad y el compromiso del correo electrónico empresarial.

Cuando un empleado escanea un código de un mensaje de trabajo utilizando un teléfono personal, la empresa puede perder visibilidad justo en el momento en que se roba una credencial. Los complementos antiphishing del navegador, las pasarelas web seguras y el filtrado corporativo pueden dejar de ser relevantes si el usuario salta a una red móvil e inicia sesión allí.

Los atacantes también se han vuelto más rápidos monetizando el acceso. Pueden pasar de credenciales robadas a fraude por transferencia bancaria, abuso de cuentas en la nube, cambios en nóminas o movimiento lateral dentro de plataformas SaaS. En algunos casos, el código QR no es más que el envoltorio moderno de una estafa de ingeniería social conocida.

El patrón es similar a lo que ha ocurrido en sectores digitales afines, donde las herramientas de conveniencia crean nuevas vías de abuso antes de que las defensas se pongan al día. Esa misma tensión puede verse en los pagos, la identidad e incluso en modelos financieros emergentes debatidos en ámbitos como cómo las criptomonedas están impulsando la innovación, donde la velocidad y la comodidad a menudo llegan antes de que las salvaguardas de confianza estén plenamente maduras.

Preguntas frecuentes

¿Qué hace que el phishing con códigos QR sea diferente del phishing habitual?

El destino malicioso suele ser similar, pero el método de entrega lo cambia todo. En lugar de un enlace de texto en el que se puede hacer clic y que las herramientas de correo pueden analizar, la URL está oculta dentro de una imagen QR, lo que puede ayudarle a eludir defensas más antiguas.

¿Escanear un código QR puede instalar malware en un teléfono?

Por lo general, escanearlo por sí solo no infecta el dispositivo. El riesgo aparece después del escaneo, cuando el usuario visita una página maliciosa, descarga un archivo, instala una app o introduce credenciales en un formulario de inicio de sesión falso.

¿Son realmente comunes los adhesivos QR falsos en lugares públicos?

Sí. Las advertencias públicas de organismos como el FBI y el USPS han destacado adhesivos QR falsos en parquímetros y otras superficies cotidianas de todo Estados Unidos. Estas estafas funcionan porque el código parece estar vinculado a un punto de servicio legítimo.

LEER  Cibercampañas encubiertas: Entidades conectadas con China atacan a proveedores de software con malware sofisticado

¿Por qué creció tan rápido el quishing?

Confluyeron tres factores: la adopción generalizada de los códigos QR tras la COVID-19, unos hábitos débiles de verificación por parte de los usuarios y la lenta adaptación de los proveedores de seguridad. La cifra de Keepnet Labs de un crecimiento de 5x entre 2024 y 2025 refleja lo rápido que los atacantes aprovecharon esa brecha.

¿Qué debe hacer alguien justo después de caer en una estafa de quishing?

Cambia inmediatamente las contraseñas expuestas, activa una autenticación multifactor más sólida y revoca las sesiones activas de las cuentas afectadas. Si se han introducido datos bancarios o de tarjetas, contacta de inmediato con el proveedor y documenta el incidente para denunciar el fraude.

Qué observar a continuación

La siguiente fase de phishing con códigos QR probablemente tendrá un aspecto más pulido, no más obvio. Espera páginas móviles clonadas mejores, ubicaciones físicas más convincentes y una segmentación más precisa de sectores en los que la gente ya está acostumbrada a escanear rápidamente, desde el transporte hasta los avisos fiscales y los controles de identidad en el trabajo.

Las defensas están mejorando, y cada vez más proveedores inspeccionan directamente las imágenes QR, pero el hábito sigue siendo el punto débil. Trata cada código desconocido como si fuera un enlace desconocido, verifica el destino antes de tocarlo y, si la página pide dinero o credenciales, detente y utiliza en su lugar el canal oficial.

¿Quieres más cobertura como esta sobre tecnología e innovación? DualMedia Innovation News sigue los cambios tecnológicos que realmente importan, desde la IA hasta el hardware plegable, pasando por la próxima ola de productos de consumo.