Volver al Blog
Phishing con códigos QR en 2026: cómo las pymes detienen los ataques de quishing

Phishing con códigos QR en 2026: cómo las pymes detienen los ataques de quishing

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store4/17/2026

TL;DR: El phishing con códigos QR (también llamado quishing) funciona porque salta de su bandeja de entrada a la cámara del teléfono, esquivando las herramientas de seguridad por las que usted pagó. Si dirige una pequeña empresa en Palm Beach County, puede reducir el riesgo rápidamente con una política de manejo de QR, filtrado consciente de móviles, acceso condicional y MFA más difícil de suplantar.

Mire, no voy a endulzarlo. En 2026, el quishing es popular por la misma razón por la que la gente todavía cae en los textos de “su paquete está retrasado”: es rápido, se siente normal y atrapa a las personas cuando están ocupadas. En mis tiempos nos preocupábamos por disquetes con archivos misteriosos. Ahora es un cuadrito “simpático” que se convierte en una página de inicio de sesión falsa antes de que se enfríe el café.

Qué es realmente el phishing con códigos QR (quishing) y por qué funciona

El phishing con códigos QR es un método de phishing donde el señuelo es un código QR en lugar de un enlace clicable. El código QR normalmente apunta a un sitio de robo de credenciales (a menudo haciéndose pasar por Microsoft 365), una descarga de malware o una estafa de pago. El truco no es el código QR en sí. El truco es que el escaneo ocurre en un teléfono, fuera de las protecciones “normales” que la gente espera en su computadora de trabajo.

Por qué el quishing se cuela incluso con “buena” seguridad de correo

  • Los escáneres de enlaces pueden no detectarlo: Algunos filtros de correo analizan URLs en texto. Un código QR es una imagen. Distinto flujo de análisis, distintos resultados.
  • Los usuarios confían en la cámara: La gente trata el escáner del teléfono como un control remoto. Apuntar, tocar, obedecer.
  • Los navegadores móviles ocultan detalles: La URL completa a menudo se muestra truncada. Es como comprar un auto usado porque las primeras dos letras del VIN “se ven bien”.

Por qué las pymes en Palm Beach County son un objetivo favorito

Porque usted está ocupado. Porque opera con un equipo reducido. Porque hay dinero real moviéndose y menos capas de aprobación. Veo este problema exacto tres veces por semana: un buzón compartido, un empleado apurado, un código QR “de Microsoft” y ahora estamos haciendo restablecimientos de contraseña mientras el dueño me pregunta si el banco puede “deshacerlo”. A veces. No siempre.

Ejemplos comunes de quishing que las pymes están viendo en 2026

La mayoría del quishing no es ingenioso. Es familiar. Los atacantes copian lo que su personal ya espera ver.

El QR falso de inicio de sesión de Microsoft 365 (el clásico)

Usted recibe un correo como “Documento compartido con usted” o “Transcripción de buzón de voz disponible”. El cuerpo incluye un código QR e instrucciones como “Escanee para ver de forma segura”. El QR lleva a una página de inicio de sesión de Microsoft falsa y roba el usuario y la contraseña. A veces, también solicita de inmediato un código de MFA.

¿Quiere la parte dolorosa? La víctima cree que está siendo más segura al escanear. “No hay enlace para hacer clic” se siente seguro. No lo es.

Estafas con QR de “Actualice su MFA” y “La cuenta será deshabilitada”

Estas apelan a la urgencia. Escanee para “reverificar” o “evitar el bloqueo”. Si su personal alguna vez tuvo que reautenticarse en Microsoft 365 (la ha tenido), el mensaje suena plausible.

Códigos QR para redirigir pagos a proveedores

Correo de factura. Código QR para “ver factura” o “pagar ahora”. La página se ve como el portal de su proveedor. El dinero va a otro lugar. Por eso sigo diciendo que las computadoras deberían ser como un refrigerador. Si usted lo está notando, algo está mal.

Cómo ocurre el robo de credenciales en móviles después del escaneo

Esto es lo que realmente pasa cuando se ignora este riesgo:

  1. El empleado escanea el QR en su teléfono.
  2. El teléfono abre una página de inicio de sesión que parece Microsoft 365 (o su nómina, o su banco).
  3. El empleado escribe las credenciales. A veces también escribe un código de MFA.
  4. El atacante inicia sesión desde otro lugar, rápidamente.
  5. Se crean reglas del buzón para ocultar respuestas y notificaciones de restablecimiento. Luego empieza el verdadero problema.

Bypass de MFA: lo que los atacantes realmente están haciendo

A todo el mundo le encanta repetir “solo active MFA” como si fuera un hechizo mágico. MFA es bueno. Pero algunos métodos de MFA son más fáciles de suplantar que otros.

  • Códigos OTP robados por phishing: Si el sitio falso pide un código de un solo uso y la víctima lo escribe, el atacante a veces puede usarlo de inmediato.
  • Fatiga de MFA: Solicitudes push repetidas hasta que alguien toca “Aprobar” para que se detenga (sí, la gente hace esto).
  • Robo de sesión: Algunos ataques intentan capturar tokens de sesión para que el atacante no necesite su contraseña otra vez.

Si esto suena como mucho, bien. Debería. La seguridad no es una sola casilla de verificación. Es una pila de controles aburridos que funcionan en conjunto.

Prevención de ataques de phishing por quishing: lo que realmente funciona

Usted no arregla el quishing gritándole “tengan cuidado” a los empleados. Eso es como arreglar una correa chillando subiendo el volumen de la radio. Se reduce el riesgo con políticas, controles técnicos y capacitación alineada con ataques reales.

1) Redacte una política de seguridad de códigos QR que la gente cumpla

Manténgala corta. Una página. Letra grande. Sin poesía legal. La idea es:

  • No escanear códigos QR desde correos a menos que verifique la solicitud por un segundo canal (llamar al remitente, abrir el archivo desde el portal oficial, etc.).
  • Sin inicios de sesión después de escanear: Si al escanear un QR aparece una página de inicio de sesión, deténgase. Vaya al servicio directamente (escriba la dirección conocida o use un marcador).
  • Reportar, no reenviar: Enseñe al personal cómo reportar mensajes sospechosos internamente.

Y sí, habrá resistencia. A la gente le encanta la conveniencia. A la gente también le encanta no perder su sueldo por una estafa. Recuérdeles eso.

2) Haga que la seguridad del correo sea consciente de móviles (y de imágenes)

Su seguridad de correo no debería tratar las imágenes como decoraciones inofensivas. Si su configuración actual no puede detectar códigos QR en los mensajes, está dejando una puerta sin llave porque “probablemente no pasa nada”.

Como mínimo, configure protecciones para:

  • Marcar mensajes con códigos QR de remitentes externos, especialmente si usan lenguaje de urgencia.
  • Poner en cuarentena intentos evidentes de suplantación (Microsoft, señuelos tipo DocuSign, portales de nómina).
  • Reforzar el etiquetado de remitentes externos para que los empleados vean “External” claramente.

Si necesita ayuda para ajustar esto sin romper el flujo legítimo de correo, para eso existen nuestros servicios de ciberseguridad administrada para pequeñas empresas.

3) Refuerce los inicios de sesión de Microsoft 365 con acceso condicional

Aquí es donde los dueños dicen: “Pero ya tenemos contraseñas”. Sí. Y aun así la gente roba autos con llaves.

El acceso condicional puede reducir el daño incluso cuando las credenciales son robadas al:

  • Bloquear inicios de sesión desde países con los que usted no hace negocios (simple, efectivo).
  • Exigir dispositivos compatibles para acceder a correo y archivos.
  • Limitar la autenticación heredada y otras rutas de inicio de sesión riesgosas.

Microsoft publica orientación general de seguridad aquí: Guía de seguridad de Microsoft Support. Léala y luego impleméntela en serio.

4) Use MFA resistente al phishing donde tenga sentido

No todo MFA es igual. Algunos métodos son mucho más difíciles de suplantar que escribir un código en una página falsa.

  • Llaves de seguridad FIDO2 para administradores y usuarios de alto riesgo (aburrido, pero funciona).
  • Coincidencia de números y configuraciones push reforzadas donde estén disponibles y sean apropiadas.
  • Cuentas de administrador separadas con requisitos más estrictos que los usuarios regulares.

No vaya a comprar un montón de dispositivos para todos porque un vendedor lo asustó. Empiece por las cuentas que pueden causar más daño: dueños, finanzas y administradores.

5) Capacite a los usuarios con ejemplos reales de quishing (no pruebas de phishing “de caricatura”)

En mis tiempos, la capacitación de seguridad era básicamente “No abra adjuntos raros”. Ahora hay que enseñar cómo se ve un inicio de sesión móvil falso y qué hacer cuando un código QR intenta sacarlos del camino.

Una buena capacitación incluye:

  • Capturas de pantalla de señuelos reales con QR falsos de Microsoft 365.
  • Cómo se ve un flujo legítimo de inicio de sesión de Microsoft para su empresa.
  • Una regla simple: Si al escanear aparece un inicio de sesión, deténgase y use la app oficial o una URL escrita manualmente.

Y si quiere mantenerse al día con cómo evolucionan estas estafas, Malwarebytes hace seguimiento de mucho de esto: blog de investigación de amenazas de Malwarebytes.

Trabajo remoto seguro: el problema de los códigos QR empeora fuera de la oficina

El trabajo remoto no es el enemigo. El trabajo remoto descuidado sí. Cuando el personal está en Wi‑Fi de casa, teléfonos personales y redes aleatorias de cafeterías, el quishing tiene más espacio para operar.

Controles prácticos para personal remoto

  • Exija administración de dispositivos o al menos cumplimiento básico del dispositivo para acceder al correo corporativo.
  • Separe cuentas de trabajo y personales en dispositivos móviles cuando sea posible.
  • Deshabilite el reenvío automático a correos personales y supervise la creación de reglas del buzón.

Si está pensando “somos demasiado pequeños para esto”, usted es exactamente el tamaño que les encanta a los estafadores.

Qué hacer si alguien escaneó un código QR e ingresó credenciales

Aquí es donde la gente entra en pánico y empieza a cambiar cosas al azar. No lo haga. Tampoco “espere a ver qué pasa”. Aquí está la lista de verificación aburrida pero efectiva:

Pasos inmediatos de contención

  1. Restablezca la contraseña de la cuenta afectada (y revoque sesiones activas si sus herramientas de administración lo permiten).
  2. Revise las reglas del buzón para detectar reenvíos sospechosos, reglas de eliminar/ocultar y filtros extraños.
  3. Revise la actividad de inicio de sesión para ubicaciones/dispositivos desconocidos.
  4. Escanee los endpoints involucrados (PC y móvil si aplica). Si sospecha malware en una estación de trabajo, comience con un servicio profesional de eliminación y limpieza de virus.

Proteja los datos que aún tiene

Si el atacante entró al correo o a los archivos, debe asumir que es posible una exposición de datos. Además, si una estafa termina en ransomware más adelante, deseará haber tenido respaldos. Si no tiene un respaldo, no tiene datos. Solo los está “prestando”.

Configure y verifique respaldos de datos empresariales que realmente restauren. Y si ya está en problemas, podemos ayudar con servicios de recuperación de datos según lo que haya ocurrido y qué tan rápido se detuvo todo.

Ciberseguridad para pymes en Palm Beach County: manténgalo simple y hágalo cumplir

Fix My PC Store tiene sede en West Palm Beach, y apoyamos a pequeñas empresas en todo Palm Beach County (incluyendo Boca Raton, Delray Beach, Boynton Beach, Lake Worth Beach, Palm Beach Gardens, Jupiter y Wellington). Las estafas no se preocupan por su código postal, pero los negocios locales sí se benefician de ayuda local cuando las cosas se complican.

El mejor plan de defensa contra quishing no es sofisticado. Es consistente:

  • Una política clara de códigos QR.
  • Filtrado de correo que entienda que los códigos QR no son “solo imágenes”.
  • Acceso condicional que bloquee inicios de sesión riesgosos.
  • Opciones de MFA más difíciles de suplantar para las cuentas que importan.
  • Capacitación que coincida con lo que los empleados realmente ven.

No necesita lo más nuevo. Necesita lo que funciona.

¿Le preocupa su seguridad?

Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos con los expertos en ciberseguridad de Palm Beach County.

Asegure su sistema

También Te Puede Interesar