
Phishing con códigos QR en 2026: Cómo detener el quishing en el trabajo
Escuchar este artículo
Loading...- Phishing con códigos QR (Quishing) en 2026: Por qué está superando las defensas tradicionales
- Por qué los códigos QR son tan efectivos con las personas (sí, incluso con las más inteligentes)
- Prevención del quishing en el trabajo: Una política segura de escaneo de QR que realmente funciona
- Las 7 reglas, aburridas pero efectivas, para la seguridad con códigos QR
- Flujo de verificación: lo que los empleados deben hacer en lugar de escanear
- Prevención de ataques de phishing: Controles de dispositivos que reducen el daño del phishing móvil
- Estándares mínimos del dispositivo para cuentas de trabajo
- Higiene del navegador y del inicio de sesión (lo poco glamoroso que lo salva)
- Fatiga por notificaciones push de MFA: Cuando el quishing se convierte en “Solo apruébalo”
- Cómo capacitar a los empleados para manejar solicitudes de MFA inesperadas
- Concientización sobre seguridad del correo electrónico: Donde suele comenzar el phishing con códigos QR
- Señuelos comunes de quishing que estoy viendo en 2026
- Qué enseñar: detectar el patrón, no la estafa exacta
- Lista de verificación de respuesta a incidentes: Si alguien escaneó un código QR e ingresó credenciales
- Haga esto de inmediato (primeros 15 minutos)
- Haga esto después (el mismo día)
- Si sospecha pérdida de datos
- Ciberseguridad para pequeñas empresas en Palm Beach County: Pasos prácticos que no rompen el presupuesto
- Lo que recomiendo para la mayoría de oficinas pequeñas
- Palabras finales desde detrás del mostrador de reparación
- ¿Le preocupa su seguridad?
TL;DR: El phishing con códigos QR (también llamado “quishing”) está aumentando en 2026 porque evita los filtros de correo electrónico y traslada la estafa al teléfono, donde la gente toca primero y piensa después. Si su empresa no cuenta con una política segura de escaneo de QR y un flujo de trabajo simple de “verificar antes de ingresar contraseñas”, básicamente está dejando la puerta del negocio sin llave y esperando que nadie intente abrirla.
Y sí, veo este mismo problema todo el tiempo. Antes, los estafadores al menos tenían que escribir un correo medio creíble. Ahora imprimen un cuadrado y dejan que su cámara haga el resto. Progreso.
Phishing con códigos QR (Quishing) en 2026: Por qué está superando las defensas tradicionales
Esto es lo que realmente ocurre cuando el phishing con códigos QR funciona: el atacante no pelea con su filtro de correo electrónico. Simplemente lo rodea.
- Un código QR aparece en un correo, una factura en PDF, un documento compartido, un volante en la sala de descanso, un aviso falso de “pago de estacionamiento” o una calcomanía pegada encima de un código real.
- Un empleado lo escanea con su teléfono (a menudo un teléfono personal, porque claro).
- El teléfono abre un enlace donde las vistas previas de URL son diminutas, se ignoran las advertencias y las herramientas de seguridad son más débiles que un café de gasolinera.
- La víctima llega a una página falsa que imita Microsoft 365, Google, Dropbox, nómina o “verifique su cuenta” y escribe sus credenciales.
En otras palabras: capacitó a todos para tener cuidado en su PC de trabajo, y luego la estafa, muy educadamente, les pide que usen el dispositivo con menos visibilidad y más comportamiento en piloto automático. Eso es el phishing móvil en pocas palabras.
Si quiere un repaso oficial y en lenguaje sencillo sobre los conceptos básicos del phishing, Microsoft tiene uno que no le va a derretir el cerebro: Soporte de Microsoft: protéjase del phishing.
Por qué los códigos QR son tan efectivos con las personas (sí, incluso con las más inteligentes)
La gente trata los códigos QR como si fueran puertas mágicas. Escanear, tocar, listo. Sin escribir. Sin pensar. Es como el viejo VCR parpadeando 12:00. La gente solo quiere que desaparezca, así que presiona el botón que parece correcto.
A los estafadores les encanta eso. También les encanta que muchos teléfonos abran enlaces directamente en una sesión del navegador donde las protecciones de su empresa no están vigilando. Su firewall no puede ayudar si la víctima está usando datos móviles, sentada en el estacionamiento, entregando las llaves felizmente.
Prevención del quishing en el trabajo: Una política segura de escaneo de QR que realmente funciona
Empecemos por lo que no debe hacer: no envíe un correo a toda la empresa que diga “Tengan cuidado con los códigos QR” y dé por terminado el tema. Eso no es una política; eso es un deseo.
Lo que necesita es una política segura de escaneo de QR que una persona agotada pueda seguir correctamente un lunes por la mañana.
Las 7 reglas, aburridas pero efectivas, para la seguridad con códigos QR
- Ningún código QR se escanea solo porque existe. Verifique primero la fuente. ¿Quién lo puso ahí? ¿Por qué está ahí? ¿Se esperaba?
- Nunca escanee códigos QR de correos “urgentes”. La urgencia es el condimento favorito del estafador.
- No ingrese credenciales de trabajo después de escanear un código QR. Si un QR lo lleva a una página de inicio de sesión, deténgase. Use un sitio guardado en marcadores o una app conocida en su lugar.
- Use la vista previa de la URL antes de abrir. Muchas apps de cámara y escáneres de QR muestran el destino. Si es un dominio raro, un acortador de URL o una mezcla larga de caracteres, no lo abra.
- Esté atento a ataques de “calcomanía sobre calcomanía”. Si tiene códigos QR en pósters, facturas, menús o etiquetas de equipos, inspeccione si hay manipulación. Sí, la gente realmente pega códigos falsos encima de los reales.
- Mantenga las cuentas de trabajo fuera de dispositivos personales cuando sea posible. Si permite teléfonos personales, necesita controles básicos (más sobre eso abajo).
- Primero reporte; nunca haga clic. Si huele raro, reenvíe el mensaje o tome una foto del código y repórtelo a quien maneje la seguridad.
Flujo de verificación: lo que los empleados deben hacer en lugar de escanear
Dé a las personas una alternativa simple. De lo contrario, tomarán el camino rápido (el camino de la estafa).
- Para pagos: vaya al sitio del proveedor desde un marcador o escribiendo la dirección, no desde un código QR.
- Para “verificación de cuenta”: abra directamente la app oficial o el portal conocido.
- Para pósters internos: proporcione una URL corta y legible para humanos junto al código QR.
Es como etiquetar los botones del microondas. Puede tener “Palomitas” o puede tener “El botón 3 hace algo misterioso”. Adivine cuál se usa correctamente.
Prevención de ataques de phishing: Controles de dispositivos que reducen el daño del phishing móvil
La capacitación ayuda, pero los humanos son humanos. También necesita controles que reduzcan el impacto cuando alguien, inevitablemente, haga lo que usted le dijo que no hiciera. (Antes, el “control” era: no haga clic en nada porque el dial-up costaba dinero. Otros tiempos.)
Estándares mínimos del dispositivo para cuentas de trabajo
Si un teléfono accede al correo o a archivos de la empresa, debe cumplir requisitos básicos:
- Bloqueo de pantalla (PIN/biometría) y bloqueo automático habilitado.
- Actualizaciones del sistema operativo instaladas regularmente (iOS y Android publican parches de seguridad por una razón).
- Aplicación de autenticación aprobada para MFA, y no compartir códigos con nadie, nunca.
- Capacidad de borrado remoto de los datos de la empresa si el dispositivo se pierde o se compromete (esto normalmente se gestiona mediante las herramientas de administración de su cuenta empresarial).
Si usted es una pequeña empresa en Palm Beach County sin un departamento de TI formal, aquí es donde deja de adivinar y obtiene un plan real. Empiece con una evaluación y controles básicos de una empresa local que hace esto todos los días. Nosotros lo hacemos aquí: servicios de ciberseguridad para pequeñas empresas.
Higiene del navegador y del inicio de sesión (lo poco glamoroso que lo salva)
- Los gestores de contraseñas ayudan porque no autocompletan en dominios falsos similares. Los humanos sí lo harían.
- Separe las cuentas de administrador de las cuentas de uso diario. No navegue por internet con el usuario que tiene las llaves del reino.
- Use MFA, pero enseñe a las personas cómo se ve cuando está bajo ataque (siguiente sección).
Fatiga por notificaciones push de MFA: Cuando el quishing se convierte en “Solo apruébalo”
Hablemos de la fatiga por notificaciones push de MFA. Es cuando los atacantes saturan con solicitudes de inicio de sesión hasta que alguien presiona “Aprobar” solo para que el teléfono deje de vibrar. Es la versión digital de una alarma de auto que no se apaga. Con el tiempo, alguien la ignora o la desactiva.
Cómo capacitar a los empleados para manejar solicitudes de MFA inesperadas
- Si usted no inició el inicio de sesión, rechácelo. Siempre.
- Repórtelo de inmediato como posible contraseña comprometida.
- Cambie la contraseña desde un dispositivo confiable, no desde el teléfono que acaba de caer en una página de quishing.
Mejor aún, use métodos de MFA que reduzcan las aprobaciones a ciegas. Si su sistema admite coincidencia de números o un código mostrado en la pantalla de inicio de sesión, actívelo. El objetivo es simple: hacer que “Aprobar” requiera pensar, no reaccionar por reflejo.
Concientización sobre seguridad del correo electrónico: Donde suele comenzar el phishing con códigos QR
La mayoría del quishing todavía comienza en el correo electrónico, porque el correo es el cajón de sastre favorito del mundo. El truco es que la carga maliciosa es una imagen de código QR, no un enlace clicable que su filtro pueda analizar fácilmente.
Señuelos comunes de quishing que estoy viendo en 2026
- “Documento compartido con usted” con un código QR para “ver en el móvil”.
- Notificaciones de “correo de voz” o “fax” con un código QR para “escuchar”. (Fax. En serio. Como si fuera 1998.)
- Actualizaciones de beneficios de RR. HH., cambios de nómina, “verificación” de depósito directo.
- Problemas de entrega de paquetes y códigos QR de “tarifa de reentrega”.
- Códigos QR de “aviso final” de estacionamiento o peajes.
Qué enseñar: detectar el patrón, no la estafa exacta
La capacitación de seguridad falla cuando es una presentación con las estafas de ayer. Enseñe patrones:
- Mensaje inesperado
- Tono urgente
- Ruta alternativa solicitada (escanee este código, use su teléfono, evite el inicio de sesión normal)
- Robo de credenciales o solicitud de pago
Si desea ayuda continua para reforzar esto, combine la capacitación con controles y monitoreo reales. Eso forma parte de nuestros servicios de ciberseguridad para empresas en West Palm Beach y en todo Palm Beach County.
Lista de verificación de respuesta a incidentes: Si alguien escaneó un código QR e ingresó credenciales
Mire, no voy a endulzarlo. Si alguien escaneó un código QR y escribió su contraseña de trabajo en una página falsa, debe asumir que la cuenta está comprometida hasta que se demuestre lo contrario. Cuanto más rápido actúe, menos costoso será.
Haga esto de inmediato (primeros 15 minutos)
- Cambie la contraseña de la cuenta afectada usando una computadora confiable (preferiblemente una PC de trabajo administrada).
- Revoque las sesiones activas en el portal de administración de correo/cuenta para expulsar al atacante.
- Revise las reglas del buzón y el reenvío para detectar cualquier cambio nuevo o sospechoso (a los atacantes les encanta el reenvío silencioso).
- Revise la actividad de MFA para detectar solicitudes inesperadas o dispositivos nuevos.
- Aísle el teléfono si instaló algo. El modo avión está bien hasta que TI lo revise.
Haga esto después (el mismo día)
- Restablezca contraseñas en cualquier lugar donde se haya reutilizado la misma contraseña. Sí, la gente todavía lo hace. No, no está bien.
- Escanee y limpie endpoints a los que se haya accedido. Si necesita ayuda, para eso existe exactamente la eliminación profesional de virus y limpieza de malware.
- Revise los sistemas financieros para detectar cambios en los datos de pago (ACH, nómina, banca de proveedores).
- Documente el origen del código QR (encabezados del correo, foto del código, URL, hora, usuario).
Si sospecha pérdida de datos
Si se eliminaron archivos, se cifraron o se borraron cuentas, no empiece a hacer clic al azar en botones de “restaurar” como si estuviera intentando arreglar una cinta de casete atascada con un lápiz. Deténgase y evalúe.
- Confirme los respaldos y pruebe restauraciones. Si no tiene un respaldo, no tiene datos. Solo los está “prestando”. Póngase serio con soluciones de respaldo para empresas.
- Si los datos ya se perdieron, es posible que necesite servicios de recuperación de datos según dónde estaban y qué ocurrió.
Ciberseguridad para pequeñas empresas en Palm Beach County: Pasos prácticos que no rompen el presupuesto
Trabajo con empresas de Palm Beach County todo el tiempo, desde West Palm Beach hasta Palm Beach Gardens, Lake Worth Beach, Wellington, Royal Palm Beach y Boca Raton. El patrón siempre es el mismo: los dueños creen que la seguridad es cara hasta el día en que se vuelve muy cara.
Lo que recomiendo para la mayoría de oficinas pequeñas
- Reglas escritas para códigos QR (cortas, visibles y aplicadas).
- Refrescamientos trimestrales de seguridad que incluyan quishing y fatiga por notificaciones push de MFA.
- MFA estandarizado y un proceso para reportar solicitudes inesperadas.
- Respaldos que se puedan restaurar (probados, no “creemos que está respaldando”).
- Contactos reales de respuesta a incidentes para que los empleados no entren en pánico ni oculten errores.
Y si quiere una buena biblioteca de análisis de estafas para que su equipo aprenda los trucos, Malwarebytes mantiene un flujo constante de artículos prácticos: Blog de Malwarebytes: explicaciones de phishing y estafas.
Palabras finales desde detrás del mostrador de reparación
Los códigos QR no son malvados. Solo son convenientes. Y la conveniencia es donde la seguridad va a morir si usted no pone barandillas.
Así que aquí está el consejo simple al que volvemos: no escanee códigos al azar, no inicie sesión desde un enlace generado por un QR, rechace solicitudes de MFA inesperadas y tenga una lista de verificación para cuando alguien se equivoque. Aburrido. Efectivo. Como un buen refrigerador. Solo lo nota cuando deja de funcionar.
¿Le preocupa su seguridad?
Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos de los expertos en ciberseguridad de Palm Beach County.
Asegure su sistema