
Phishing con códigos QR en facturas empresariales: un plan de defensa para 2026
Escuchar este artículo
Loading...- Por qué el phishing con códigos QR (quishing) funciona en facturas
- Evita las defensas “habituales” del correo electrónico
- Exploita la velocidad y la rutina en Cuentas por Pagar
- Se combina bien con la suplantación de proveedores y el BEC
- Señales de alerta de phishing con códigos QR en facturas empresariales
- Señales en la factura que gritan “quishing”
- Señales de comportamiento (sí, estoy hablando de usted)
- Seguridad en Cuentas por Pagar: verificación de pagos a proveedores que realmente funciona
- Establezca una política de cambios de pago a proveedores (y hágala cumplir)
- Use verificación fuera de banda para pagos de alto monto
- Bloquee los datos maestros de proveedores
- Controles de seguridad de correo que reducen el fraude de facturas y el BEC
- Controles base que ya debería tener en 2026
- MFA resistente al phishing (porque los códigos también se roban)
- Escaneo seguro de QR en dispositivos móviles (sin fingir que la gente no usa teléfonos)
- Reglas para escanear QR de forma segura
- Protecciones de dispositivos móviles que sí importan
- Capacitación de concientización sobre phishing para prevenir quishing (sin el discurso corporativo)
- Qué enseñar al personal de AP y a equipos de recepción/oficina
- Haga simulacros simples
- Respuesta a incidentes: qué hacer si alguien escaneó el código QR
- Si se ingresaron credenciales
- Si se envió dinero (ACH o transferencia)
- Si se pierden datos o los sistemas se complican
- Ciberseguridad en el condado de Palm Beach: una lista práctica para 2026
- Controles de proceso (anti-fraude)
- Controles técnicos (anti-compromiso)
- Controles de personas (anti-error)
- ¿Le preocupa su seguridad?
TL;DR: El phishing con códigos QR (también llamado quishing) está apareciendo en facturas porque se cuela fácilmente entre muchos filtros de correo y termina en un teléfono, donde la gente hace clic primero y piensa después. Si quiere detener el fraude de facturas en 2026, necesita controles “aburridos”: verificar cambios en pagos de proveedores, asegurar el correo y los dispositivos móviles, usar MFA resistente al phishing y capacitar a Cuentas por Pagar para tratar los códigos QR como si fueran memorias USB desconocidas. Simple. Nada glamoroso. Funciona.
Veo este problema exacto tres veces por semana. Alguien en Cuentas por Pagar recibe una factura con un código QR que dice “Pague aquí” o “Ver detalles de remesa”. Lo escanean, el teléfono abre una página que parece lo suficientemente legítima y luego ocurre una de dos cosas:
- Ingresan credenciales de Microsoft 365 y se las entregan a criminales (hola, business email compromise).
- “Confirman” datos bancarios y redirigen un ACH o una transferencia (hola, fraude de facturas).
En mis tiempos, las estafas llegaban por fax o por una llamada de “Soporte de Windows” con un acento marcado y un guion flojo. Ahora es un pequeño código de barras cuadrado en el que la gente confía como si hubiera bajado de la montaña con los Diez Mandamientos. No fue así.
Este plan está escrito para empresas del condado de Palm Beach, especialmente en West Palm Beach, Palm Beach Gardens, Lake Worth, Boynton Beach y Wellington. Si su empresa paga a proveedores, es un objetivo. Si paga a proveedores rápido, es un objetivo aún mayor.
Por qué el phishing con códigos QR (quishing) funciona en facturas
La prevención del quishing empieza por entender el truco. Un código QR es solo un atajo hacia un enlace. Y los enlaces son donde las malas decisiones van a reproducirse.
Evita las defensas “habituales” del correo electrónico
Las herramientas de seguridad de correo suelen ser bastante buenas para detectar enlaces maliciosos obvios en los mensajes. Pero cuando el enlace está oculto dentro de una imagen de código QR, algunas herramientas no lo tratan igual. El usuario escanea el código con un teléfono y ahora toda la interacción ocurre fuera de las protecciones del navegador de escritorio y, a veces, fuera del monitoreo corporativo.
Exploita la velocidad y la rutina en Cuentas por Pagar
Cuentas por Pagar está diseñado para el volumen. Llegan facturas, se concilian, se pagan y se sigue. A los criminales les encantan las rutinas. No necesitan hackear el edificio si pueden hackear el hábito.
Se combina bien con la suplantación de proveedores y el BEC
Una vez que un atacante roba una sesión de buzón o convence a alguien de “verificar” un portal de pagos, puede aplicar los trucos clásicos de business email compromise: reglas de reenvío, cadenas de respuesta falsas y “datos bancarios actualizados” de último minuto. La misma estafa de siempre, con un envoltorio nuevo.
Si quiere algo para leer antes de dormir (o una razón para dejar de escanear cuadrados al azar), aquí tiene la explicación general de Malwarebytes sobre el phishing con códigos QR (quishing). No es ciencia ficción. Es martes.
Señales de alerta de phishing con códigos QR en facturas empresariales
Mire, no voy a endulzarlo: si su personal trata las facturas como correo basura que pueden pagar desde el teléfono mientras hacen fila para el café, lo van a pasar mal.
Señales en la factura que gritan “quishing”
- Códigos QR solo para pago sin método alternativo (sin dirección postal, sin portal que ya utilice).
- Lenguaje como “urgente”, “aviso final” o “evite interrupción del servicio” cuando el proveedor nunca se ha comunicado así.
- Cambios de datos bancarios junto con un código QR: “Escanee para confirmar nueva información de ACH”.
- El código QR dirige a un enlace corto o a un dominio extraño que no coincide con el sitio real del proveedor.
- El correo de la factura proviene de un dominio parecido (una letra diferente, un guion extra, un TLD distinto).
Señales de comportamiento (sí, estoy hablando de usted)
- Escanear códigos QR en teléfonos personales para pagos de la empresa.
- Aprobar cambios de pago basándose solo en un correo electrónico.
- Usar el número de teléfono que aparece en la factura sospechosa para “verificarla”. Eso es como preguntarle a un desconocido si su identificación falsa se ve real.
Seguridad en Cuentas por Pagar: verificación de pagos a proveedores que realmente funciona
Esto es lo que NO debe hacer: no acepte cambios bancarios de proveedores por correo, códigos QR o “nuevos enlaces de portal” sin un paso de verificación que el atacante no pueda controlar.
Establezca una política de cambios de pago a proveedores (y hágala cumplir)
Si no tiene una política por escrito, no tiene una política. Tiene “sensaciones”.
- Verificación por devolución de llamada (call-back): Verifique cualquier cambio de ACH/transferencia usando un número confiable de su registro maestro de proveedores, contrato o estados de cuenta anteriores. No el de la factura. No el de la firma del correo.
- Regla de dos personas: Una persona recibe e ingresa los cambios, otra persona los aprueba. Sí, ralentiza el proceso. Ese es el objetivo.
- Periodo de retención: Para nuevos datos bancarios, retrase el primer pago si es posible, o exija verificación adicional para la primera transacción.
- Registre todo: Quién solicitó el cambio, quién verificó, a qué número se llamó y cuándo se aprobó.
Use verificación fuera de banda para pagos de alto monto
Para transferencias grandes o proveedores nuevos, haga una confirmación por un segundo canal: una llamada telefónica más una confirmación separada a través de un portal de proveedor conocido que ya utilicen. Si su equipo dice “eso es demasiado trabajo”, pregúnteles cuánto trabajo es explicarle al dueño una transferencia de $48,000 que desapareció.
Bloquee los datos maestros de proveedores
Su sistema contable no es un buzón de sugerencias. Restrinja quién puede editar los campos bancarios del proveedor. Revise permisos trimestralmente. Y si todos en el departamento tienen derechos de administrador, felicidades: han inventado la máquina de fraude más fácil del mundo.
Controles de seguridad de correo que reducen el fraude de facturas y el BEC
Los códigos QR son un método de entrega. La enfermedad más grande sigue siendo el compromiso y la suplantación del correo electrónico. Si los criminales pueden entrar a un buzón, pueden observar facturas, aprender su ritmo y atacar cuando más duele.
Controles base que ya debería tener en 2026
- MFA en todas partes para correo y sistemas contables. No “después”. Ahora.
- Acceso condicional cuando sea posible: bloquee inicios de sesión desde países con los que no hace negocios, exija dispositivos compatibles y marque inicios de sesión de riesgo.
- Deshabilite la autenticación heredada si su entorno aún la permite.
- DMARC, SPF, DKIM configurados correctamente para reducir la suplantación. No es perfecto, pero es mejor que cruzar los dedos.
Microsoft tiene una página clara y en lenguaje sencillo sobre lo básico del phishing aquí: guía de Microsoft para protegerse del phishing. Léala, luego haga que su equipo la lea y después recuérdeles que “estaba ocupado” no es una estrategia de seguridad.
MFA resistente al phishing (porque los códigos también se roban)
Los códigos por SMS y las aprobaciones push son mejor que nada, pero aun así se abusan con prompt bombing y la ingeniería social. Para roles clave (Cuentas por Pagar, ejecutivos, cualquiera que pueda mover dinero), use métodos resistentes al phishing como llaves de seguridad FIDO2 o autenticación basada en certificados cuando su configuración lo permita. Aburrido, pero funciona.
Escaneo seguro de QR en dispositivos móviles (sin fingir que la gente no usa teléfonos)
En mis tiempos, nos preocupaba que los niños descargaran tonos de llamada en un Motorola Razr. Ahora nos preocupa que alguien escanee un código QR que vacíe la cuenta bancaria. Progreso.
Reglas para escanear QR de forma segura
- No escanee códigos QR de facturas para iniciar sesión en Microsoft 365 ni en ninguna cuenta. Nunca. Si el código QR dice que es para iniciar sesión, casi seguro es una trampa.
- Previsualice la URL antes de abrirla. La mayoría de escáneres de cámara del teléfono muestran el enlace. Si es un dominio raro, un enlace corto o una falta ortográfica, deténgase.
- Abra enlaces en un navegador administrado en dispositivos corporativos cuando sea posible, con protecciones de navegación segura habilitadas.
- Nunca ingrese credenciales después de escanear un código QR, a menos que primero haya navegado manualmente a un sitio confiable.
Protecciones de dispositivos móviles que sí importan
- Use MDM (mobile device management/gestión de dispositivos móviles) para teléfonos de la empresa: aplique bloqueo de pantalla, actualizaciones del sistema operativo y controles de aplicaciones.
- Separe las cuentas de trabajo de las apps personales cuando sea posible.
- Mantenga actualizadas las PC con Windows 10 y Windows 11, y también los dispositivos Android/iOS. El software viejo es donde los atacantes van de compras por ofertas.
Si necesita ayuda para reforzar esto en una oficina real (no en un documento de políticas de fantasía), para eso están nuestros servicios de ciberseguridad para empresas del condado de Palm Beach.
Capacitación de concientización sobre phishing para prevenir quishing (sin el discurso corporativo)
La mayoría de las capacitaciones fallan porque son demasiado vagas (“tenga cuidado”) o demasiado teatrales (“usted es un guerrero cibernético”). Usted no es un guerrero cibernético. Está tratando de pagar una factura de jardinería y volver a su vida.
Qué enseñar al personal de AP y a equipos de recepción/oficina
- Los códigos QR son enlaces. Trátelos como enlaces.
- Los cambios de pago requieren verificación. Sin excepciones por “urgencia”.
- Deténgase y escale cuando algo no cuadra: nuevo banco, nuevo portal, nuevo tono, nueva urgencia.
- Reporte rápido. Reportar temprano puede evitar una segunda víctima y, a veces, ayuda a recuperar fondos.
Haga simulacros simples
Una vez por trimestre, haga un simulacro corto: muestre 5 ejemplos de facturas (2 legítimas, 3 falsas) y pida al personal que explique qué haría. Sin avergonzar a nadie. Solo práctica. La gente no se eleva a la ocasión; cae al nivel de su entrenamiento. Igual que estacionar en paralelo.
Respuesta a incidentes: qué hacer si alguien escaneó el código QR
Esto es lo que realmente pasa cuando se ignora: el atacante inicia sesión, configura una regla de reenvío y espera. O intenta mover dinero rápido. El tiempo importa.
Si se ingresaron credenciales
- Restablezca la contraseña de inmediato y revoque las sesiones activas.
- Revise reglas del buzón, reenvío y accesos delegados.
- Revise los registros de inicio de sesión para ubicaciones y dispositivos inusuales.
- Ejecute escaneos de endpoint en la PC usada para el correo y en cualquier dispositivo involucrado. Si necesita una limpieza, empiece con eliminación profesional de virus y limpieza de malware.
Si se envió dinero (ACH o transferencia)
- Contacte a su banco de inmediato y solicite un recall o el proceso por fraude. No espere a una reunión.
- Conserve el correo de la factura, la imagen del código QR y cualquier mensaje. No “limpie” la evidencia.
- Bloquee las ediciones del maestro de proveedores hasta confirmar qué cambió.
Si se pierden datos o los sistemas se complican
Si no tiene un backup, no tiene datos. Solo los está “prestando”. Asegúrese de tener copias de seguridad probadas y de poder restaurarlas. Nuestros backups empresariales administrados están diseñados para exactamente este tipo de momento de “oh no”. Y si ya pasó ese punto, podemos hablar de opciones de recuperación de datos, pero prefiero dejarlo listo para que nunca lo necesite.
Ciberseguridad en el condado de Palm Beach: una lista práctica para 2026
Aquí tiene su plan de defensa “aburrido pero efectivo”. Imprímalo. Péguelo cerca de Cuentas por Pagar. Sí, como si fuera 1999 y todavía estuviéramos etiquetando disquetes.
Controles de proceso (anti-fraude)
- Política escrita de cambios de proveedor con verificación por devolución de llamada
- Aprobación de dos personas para cambios bancarios y pagos de alto monto
- Permisos del maestro de proveedores bloqueados
- Retenciones de pago o verificación adicional para el primer pago después de cambios
Controles técnicos (anti-compromiso)
- MFA para todos los usuarios; MFA resistente al phishing para quienes mueven dinero
- Acceso condicional y cumplimiento de dispositivos cuando sea posible
- Autenticación de correo (SPF/DKIM/DMARC) y políticas anti-phishing
- Parcheo administrado para PC con Windows 10 y Windows 11, además de actualizaciones del SO móvil
Controles de personas (anti-error)
- Capacitación breve de concientización sobre phishing, basada en roles
- Simulacros trimestrales de fraude de facturas usando ejemplos reales
- Ruta clara de reporte: a quién llamar, qué congelar, qué conservar
Si quiere ayuda para implementar esto sin comprar “soluciones” sobrevaloradas, Fix My PC Store puede evaluar su flujo de trabajo, la configuración de correo y la seguridad de dispositivos, y darle un plan que se ajuste a cómo realmente opera su empresa. Atendemos a empresas en todo el condado de Palm Beach, incluyendo West Palm Beach y áreas cercanas.
¿Le preocupa su seguridad?
Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos con los expertos en ciberseguridad del condado de Palm Beach.
Asegure su sistema