Volver al Blog
Phishing con códigos QR (Quishing) en 2026: Proteja al personal y los inicios de sesión

Phishing con códigos QR (Quishing) en 2026: Proteja al personal y los inicios de sesión

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store5/5/2026

TL;DR: El phishing con códigos QR (también llamado quishing) es uno de los favoritos en 2026 porque se cuela entre los escáneres de enlaces del correo electrónico y empuja a las personas al teléfono, donde no pueden ver la dirección web completa y las herramientas de seguridad son más limitadas. Si quiere menos contraseñas robadas y menos llamadas a las 2 a. m. de “¿por qué nuestro correo está enviando facturas a desconocidos?”, necesita un plan simple: capacitación + reglas de escaneo de QR + protecciones móviles + DMARC/SPF/DKIM.

Veo este mismo problema tres veces por semana. Alguien recibe un correo de “documento seguro”, escanea un código QR, inicia sesión en algo que parece Microsoft 365 o Google Workspace, y le entrega su contraseña a un desconocido como si fuera dulce de Halloween. Luego el atacante toma control del buzón, reenvía facturas y empieza a “comprar” tarjetas de regalo. Clásico.

Qué es el phishing con códigos QR (quishing) y por qué funciona en 2026

El quishing es phishing que usa un código QR en lugar de un enlace clicable. El mismo engaño, distinto empaque. Antes, los estafadores tenían que convencerlo de hacer clic en un enlace azul subrayado en un correo, en una computadora beige con Windows XP. Ahora imprimen un pequeño laberinto cuadrado y su teléfono hace el resto (gracias por participar).

Por qué los códigos QR maliciosos evaden las defensas tradicionales del correo

Las herramientas de seguridad de correo son bastante buenas para inspeccionar enlaces dentro de los emails. Los reescriben, los escanean, los “detonan” en sandboxes, todo ese “next-gen” por lo que a la gente le encanta pagar de más. Pero un código QR es, básicamente, una imagen. Si el filtro no decodifica y analiza el contenido del QR, solo ve un archivo adjunto de imagen o una imagen incrustada. Y el estafador se ríe camino a su página de inicio de sesión falsa.

Por qué el phishing móvil es la trampa perfecta

Los teléfonos son convenientes. También son donde el buen juicio va a morir.

  • Se ve menos de la URL, así que un dominio falso es más difícil de detectar.
  • En móvil la gente va rápido y no “pasa el cursor” por encima de los enlaces (porque no se puede).
  • Los navegadores móviles a menudo ocultan detalles detrás de menús.
  • Algunas herramientas de seguridad móvil no inspeccionan el tráfico igual que la red de su oficina.

Así que el atacante saca a la víctima de la computadora de trabajo “protegida” y la lleva al teléfono. Eso no es un accidente. Ese es el objetivo.

Robo de credenciales: qué sucede realmente después del escaneo

Mire, no voy a endulzarlo. Si alguien escanea un código QR malicioso y escribe su contraseña en una página de inicio de sesión falsa, el atacante no solo “la prueba después”. A menudo la usa de inmediato, porque la velocidad importa antes de que usted se dé cuenta.

Seguridad de inicio de sesión de Microsoft 365: la ruta típica de toma de control

Con Microsoft 365, los atacantes comúnmente hacen alguna combinación de:

  • Iniciar sesión en Outlook en la web y buscar facturas, nómina, instrucciones de transferencias, y adjuntos guardados.
  • Crear reglas del buzón para reenviar automáticamente mensajes u ocultar respuestas (el “VCR parpadeando 12:00” de los problemas de correo: se queda ahí en silencio hasta que le arruina el día).
  • Enviar phishing desde la cuenta comprometida a proveedores y compañeros, porque parece legítimo.

Si quiere la guía oficial de seguridad de Microsoft, empiece en guía de seguridad de Microsoft Support y avance desde allí.

Seguridad de inicio de sesión de Google Workspace: la misma estafa, distinto logo

Las cuentas de Google Workspace reciben el mismo tipo de ataque. La página falsa parece un inicio de sesión de Google, la víctima ingresa credenciales, y luego el atacante:

  • Accede a Gmail y Drive para obtener archivos sensibles.
  • Configura reenvío y filtros.
  • Usa la cuenta para hacer phishing a otros, porque el correo interno se considera confiable.

Y sí, lo sé, usted tiene MFA. Hablaremos de eso en un segundo, porque “tenemos MFA” no es lo mismo que “estamos seguros”.

Prevención de quishing: qué NO hacer (y luego qué sí hacer)

Saquemos primero los malos hábitos del camino.

NO trate los códigos QR como si fueran mágicamente más seguros que los enlaces

Un código QR es solo un enlace disfrazado. Eso es todo. Es como ponerle una calcomanía diferente al mismo microondas y llamarlo “cocina inteligente”. Igual le quema las palomitas si no presta atención.

NO permita “escanee para iniciar sesión” como un flujo de trabajo normal

Si su personal está escaneando códigos QR para iniciar sesión en el correo, ver documentos de RR. HH. o “verificar” cuentas, básicamente los está entrenando para caer en quishing. Deje de normalizarlo.

Haga esto en su lugar: una política de escaneo seguro de QR, aburrida pero efectiva

Redacte una política simple. Imprímala. Póngala cerca de la impresora y del área de descanso. Sí, en papel. Todavía funciona. Su política de escaneo seguro de QR debe incluir:

  1. Previsualice el destino antes de abrirlo. La mayoría de las cámaras del teléfono muestran una vista previa de la URL. Si no muestra el dominio claramente, no lo abra.
  2. Nada de códigos QR para inicios de sesión. Punto. Si un código QR lleva a una página de inicio de sesión de Microsoft 365 o Google Workspace, trátelo como hostil hasta verificarlo.
  3. Escriba manualmente direcciones conocidas para portales sensibles. Sí, es más lento. También lo es limpiar un incidente de seguridad.
  4. Use una vía de reporte: “Reenvíe el correo a TI” o “Envíe una captura al helpdesk”. Reportar rápido es mejor que la vergüenza silenciosa.
  5. Asuma que los códigos QR impresos pueden ser manipulados. Los estafadores pegan stickers sobre códigos legítimos en afiches, facturas y mostradores.

Prevención de ataques de phishing con capacitación que no le haga perder el tiempo a todos

La capacitación de concientización en seguridad tiene mala fama porque mucha de ella es una siesta corporativa. Pero bien hecha, solo enseña verificaciones de 5 segundos que evitan desastres.

Capacitación de seguridad de correo: la lista de verificación de quishing en 5 segundos

  • ¿Por qué me piden escanear? La urgencia es una señal de alerta.
  • ¿Cuál es el dominio de destino? No el diseño de la página. El dominio.
  • ¿Es un inicio de sesión que viene desde un código QR? Si sí, deténgase y verifique por un canal conocido.
  • ¿El mensaje es extrañamente genérico? “Estimado usuario” no es como habla su equipo de nómina.
  • ¿Se salta el proceso normal? “Nueva política de seguridad, escanee aquí” es un clásico.

Para equipos locales, lo digo claramente: la capacitación de concientización en seguridad en Palm Beach County debe ser práctica, breve y repetida. Una presentación a la hora del almuerzo una vez al año es como cambiar el aceite del carro una vez por década y sorprenderse cuando el motor empieza a golpear.

Haga simulacros rápidos, no charlas largas

Haga un ejercicio mensual de 10 minutos de “detecte la estafa”. Muestre un correo falso con QR, pregunte qué harían y refuerce la política. La gente recuerda lo que practica, no lo que solo “pasa” haciendo clic.

Protecciones para dispositivos móviles: porque el quishing vive en los teléfonos

Si el quishing empuja a las víctimas al móvil, entonces sus defensas también deben vivir allí. No necesita gadgets sofisticados. Necesita configuraciones consistentes.

Protecciones mínimas en móviles para dispositivos del personal

  • Exija bloqueo de pantalla (PIN o biometría) y tiempos cortos de bloqueo automático.
  • Mantenga activadas las actualizaciones del sistema en iPhone y Android. Sí, las actualizaciones molestan. Los compromisos también.
  • Use dispositivos administrados cuando sea posible (MDM) para aplicar seguridad básica y eliminar cuentas corporativas si se pierde un teléfono.
  • Bloquee instalaciones de apps desconocidas y desaconseje apps dudosas de “lector de QR”. La mayoría de los teléfonos pueden escanear códigos QR con la app de cámara. No necesita una app extra que pide 47 permisos.

MFA: necesaria, no mágica

La autenticación multifactor ayuda mucho, pero no es un campo de fuerza. Los atacantes aún pueden:

  • Engañar a los usuarios para que aprueben solicitudes (“fatiga de MFA”).
  • Usar sitios de phishing con reverse-proxy que capturan tokens de sesión.

Así que sí, use MFA en todas partes. Pero también capacite a los usuarios: si recibe una solicitud de MFA que usted no inició, rechácela y repórtela. Sin adivinar.

DMARC, SPF, DKIM: controles de correo poco glamorosos que reducen el quishing

Ahora viene la parte que todos quieren saltarse porque no es “brillante”: la autenticación de correo. En 2026, mucho quishing empieza con correo suplantado (spoofing) que finge ser su proveedor, su banco o su propio equipo interno.

Qué hacen estos controles (en español claro)

  • SPF le dice al mundo qué servidores están autorizados para enviar correo por su dominio.
  • DKIM agrega una firma para demostrar que el mensaje no fue alterado y está autorizado.
  • DMARC le dice a los sistemas receptores qué hacer cuando fallan las verificaciones SPF/DKIM (monitorear, poner en cuarentena o rechazar) y le brinda reportes.

Configurados correctamente, estos reducen la suplantación de dominio. Eso significa menos mensajes falsos de “escanee este código QR” que parecen venir desde dentro de su empresa.

Qué hacer si no está seguro de que la autenticación de su correo esté correcta

No adivine. Un DMARC/SPF/DKIM mal configurado puede romper correo legítimo, y entonces volverá a mi mostrador preguntando por qué los clientes no están recibiendo sus cotizaciones.

Si quiere ayuda para hacerlo bien, eso encaja perfectamente en nuestros servicios de ciberseguridad para empresas. Lo mantendremos aburrido, documentado y probado.

Qué hacer cuando alguien escanea un código QR malicioso (lista de verificación de incidente)

Esto es lo que pasa cuando se ignora: los atacantes crean reglas, roban datos y usted no se da cuenta hasta que falta dinero o los clientes se quejan. Así que si alguien escaneó un código e ingresó credenciales, trátelo como un incidente de inmediato.

Pasos inmediatos (primera hora)

  1. Cambie la contraseña de esa cuenta desde un dispositivo conocido y limpio.
  2. Revoque sesiones en las herramientas de administración de Microsoft 365 o Google Workspace (según corresponda) y cierre sesión en todos los dispositivos.
  3. Revise reglas del buzón y reenvío para detectar cualquier cosa nueva o sospechosa.
  4. Revise inicios de sesión recientes para ubicaciones/dispositivos desconocidos.
  5. Escanee el dispositivo si se descargó algo. Si se comporta raro, deje de usarlo hasta que sea revisado.

Si el dispositivo está comprometido, límpielo correctamente. Empiece con eliminación profesional de virus y limpieza de malware en lugar de jugar al “golpea-al-topo” con escáneres gratuitos al azar que encontró en un hilo de foro de 2009.

Pasos de protección de datos (el mismo día)

Si existe alguna posibilidad de que se haya accedido a archivos o se hayan cifrado, debe pensar en recuperación y continuidad:

  • Verifique que tenga respaldos que funcionen. No “creemos que sí”. Que funcionen.
  • Si los respaldos faltan o están incompletos, deje de escribir datos nuevos y pida ayuda.

Nos encargamos de la planificación y verificación mediante respaldos empresariales administrados. Y si las cosas ya se complicaron, los servicios de recuperación de datos pueden ser una opción dependiendo de lo que haya ocurrido (no, no puedo resucitar un disco que ya se convirtió en un pisapapeles, pero a menudo podemos hacer más de lo que usted imagina).

Defensa contra quishing en Palm Beach County: un plan de implementación práctico para empresas

Si está en West Palm Beach, Boca Raton, Boynton Beach, Delray Beach, Lake Worth, Palm Beach Gardens, Wellington, Royal Palm Beach, Jupiter o en cualquier otro lugar de Palm Beach County, el manual es el mismo. A los estafadores no les importa en qué código postal esté.

Semana 1: política + capacitación rápida

  • Adopte la política de escaneo seguro de QR (sin QR para iniciar sesión).
  • Realice una capacitación de 15 minutos con ejemplos de códigos QR maliciosos.
  • Establezca un procedimiento simple de reporte.

Semana 2: refuerce los inicios de sesión

  • Haga cumplir MFA para cuentas de Microsoft 365 y Google Workspace.
  • Reduzca el reenvío automático del buzón cuando sea posible y genere alertas ante cambios.
  • Asegúrese de que no haya reutilización de contraseñas (siempre la hay hasta que se revisa).

Semana 3: fortalezca la autenticidad del correo

  • Implemente o corrija SPF, DKIM y DMARC.
  • Lleve DMARC hacia la aplicación (enforcement) una vez que confirme los remitentes legítimos.

Semana 4: pruebe y ajuste

  • Ejecute una prueba simulada de quishing (solo interna) y mida los reportes.
  • Ajuste la capacitación según lo que el personal realmente pasó por alto.

Si quiere un flujo sólido de análisis de amenazas del mundo real (sin alarmismo), investigación de seguridad y artículos sobre phishing de Malwarebytes es un buen lugar para seguir tendencias.

Reglas simples que su personal realmente recordará

  • Los códigos QR son enlaces. Trátelos como enlaces.
  • Nada de códigos QR para iniciar sesión. Nunca.
  • Si es urgente, es sospechoso. Verifique por un método conocido.
  • Si no tiene un respaldo, no tiene datos. Solo los está “prestando”.

¿Le preocupa su seguridad?

Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos con los expertos en ciberseguridad de Palm Beach County.

Asegure su sistema

También Te Puede Interesar