¿Qué es el phishing QR (quishing)?

El phishing QR, también conocido como phishing de códigos QR o "quishing", es una evolución de los ataques de phishing, y se refiere a un ataque en el que los ciberdelincuentes incrustan códigos QR maliciosos en correos electrónicos o archivos adjuntos. Cuando se escanea el código QR, las víctimas son redirigidas a sitios web falsos que parecen legítimos, y cuando un usuario inicia sesión, sus credenciales son robadas, lo que lleva a compromisos en cascada de datos sensibles y, eventualmente, su robo.

Los ataques de quishing son efectivos porque los códigos QR eluden las medidas tradicionales de seguridad del correo electrónico y explotan la confianza de los usuarios. Debido a que es un tipo de ataque más reciente, los usuarios generalmente son menos conscientes de las amenazas de códigos QR que de los enlaces sospechosos, lo que hace que sea más probable que los escaneen sin considerar posibles problemas de seguridad.

En un informe publicado por Barracuda, los investigadores analizaron cerca de 670 millones de correos electrónicos donde descubrieron algunas tendencias preocupantes. El 83% de los documentos maliciosos de Microsoft 365 y el 68% de los PDF maliciosos ahora contienen códigos QR que llevan a sitios web de phishing. El quishing se ha convertido en un método principal que los atacantes utilizan para empaquetar sus amenazas.

Los ataques de quishing son sorprendentemente sencillos, pero efectivos. Los ciberdelincuentes se hacen pasar por empresas conocidas como Microsoft y Adobe, utilizando el reconocimiento de sus marcas para ganarse la confianza del destinatario. Pero no se detienen ahí: incluso los departamentos internos de las empresas como RRHH o Financiero son objetivos. El tono de estos correos electrónicos suele ser urgente; se necesita restablecer una contraseña, el departamento de RRHH necesita que actualice su información — cualquier cosa que le haga actuar rápidamente sin pensar demasiado.

El código QR malicioso está incrustado directamente en el cuerpo del correo electrónico o, como está siendo más común, en un documento PDF adjunto. El uso de archivos PDF es estratégico en múltiples niveles porque los PDFs son un formato de archivo confiable en un entorno empresarial, lo que hace que los usuarios sean menos cautelosos al abrir el adjunto.

Los códigos QR a los que acceden los usuarios móviles tienen menos probabilidades de enfrentar resistencia de los firewalls corporativos porque hay una mayor posibilidad de que el dispositivo esté fuera de las instalaciones cuando se escanea el código QR. Un ataque tiene una probabilidad mucho mayor de éxito cuando se visita el sitio malicioso desde un dispositivo personal, o fuera de la red corporativa, donde no hay controles de seguridad para bloquear el acceso.

Una vez que se ingresan las credenciales y el usuario intenta iniciar sesión, los atacantes capturan inmediatamente sus datos de inicio de sesión. Estas credenciales robadas se utilizan luego en ataques posteriores donde el usuario ha reutilizado la misma dirección de correo electrónico y contraseña en diferentes sitios, permitiendo al atacante tomar el control de cuentas, comprometer correos electrónicos empresariales o comenzar a moverse lateralmente a través de los sistemas de la organización.

El quishing no está disminuyendo y se está convirtiendo en una de las técnicas de campañas de phishing de más rápido crecimiento utilizadas por los ciberdelincuentes en la actualidad.

El robo de credenciales y la usurpación de cuentas (ATO) son los objetivos iniciales de un ataque de quishing. Con una cuenta de empleado comprometida, los atacantes obtienen acceso a la organización y la utilizan como área de preparación para ataques más graves.

Los ATOs se han convertido en un tipo de incidente sorprendentemente común. Un estudio de Barracuda muestra que el 22% de las empresas experimentaron un incidente de usurpación de cuentas en los últimos 12 meses. Cuando un atacante tiene acceso a una cuenta, tiene la oportunidad de comenzar a estudiar correos electrónicos, identificando objetivos deseables como partes interesadas y personal de alto nivel. A partir de ahí, pueden comenzar a lanzar ataques de spear phishing convincentes contra otros empleados una vez que han descubierto objetivos adecuados. Ataques como este son efectivos porque los correos electrónicos parecen provenir de un empleado dentro de la empresa, aprovechando la confianza de los empleados, lo que lleva a más credenciales robadas.

Sectores empresariales como Finanzas, Salud y Educación están en mayor riesgo debido a los datos sensibles con los que trabajan. Si se roban registros médicos privados, podría haber investigaciones prolongadas, multas e incluso sanciones regulatorias. Las instituciones financieras corren el riesgo de que se inicien transferencias electrónicas no autorizadas a través de cuentas comprometidas, lo que lleva a pérdidas financieras y daños a la reputación.

Cuando un ataque de quishing tiene éxito, los equipos de TI y seguridad deben probar los sistemas y auditar los datos para verificar el acceso no autorizado. La investigación de la brecha para encontrar cualquier cuenta comprometida adicional no es una tarea menor y puede llevar a una pérdida de productividad y horas de trabajo ya que los recursos se desvían hacia la limpieza.

Hay varios factores que han hecho que el flagelo del quishing sea más prevalente que nunca, siendo el más obvio la aceptación y adopción de los códigos QR. Los códigos QR se utilizan aparentemente en todas partes, desde la publicidad hasta carteles informativos, por lo que escanearlos se ha convertido en algo casi natural para las personas. Los atacantes han notado este cambio de comportamiento y se han apresurado a explotarlo.

El éxito de Quishing depende de su capacidad para evadir la detección. La mayoría de los gateways de correo electrónico seguros (SEG) están configurados para analizar únicamente texto, enlaces y archivos adjuntos. Los códigos QR son imágenes sin estos atributos, lo que crea un punto ciego. Esto permite que los códigos QR pasen desapercibidos para los filtros de correo electrónico, llegando a las bandejas de entrada de los usuarios desprevenidos.

Algunos proveedores de seguridad han comenzado a ponerse al día e implementar capacidades de escaneo de códigos QR, lo que ha obligado a los actores de amenazas a adaptar su enfoque. Los atacantes ahora utilizan técnicas sofisticadas como códigos QR divididos, donde fragmentos de código malicioso se integran en varias imágenes. Esto les ayuda a evitar la detección por parte de las herramientas de seguridad, pero aún pueden ser escaneados por víctimas desprevenidas que luego serán dirigidas a un sitio malicioso.

Los códigos QR anidados utilizan una técnica diferente. Al superponer varios códigos QR en una sola imagen, los ciberdelincuentes pueden engañar a algunos escáneres de correo electrónico al tener una URL legítima en el centro del código QR, con el código malicioso envuelto alrededor del borde de la imagen. Cuando un usuario escanea el código QR con su teléfono, se activa la URL maliciosa, dirigiendo al usuario a un sitio web de phishing.   

El quishing tiene muchas más probabilidades de tener éxito en organizaciones donde no se dedica mucho tiempo a educar a los usuarios sobre los peligros potenciales de escanear códigos QR no verificados. La formación de seguridad y las políticas deben actualizarse si se quiere detener el avance del quishing. Los usuarios no entrenados son el eslabón más débil de la cadena, y si se quiere frenar la tendencia ascendente del quishing, las políticas de seguridad deben adoptar un enfoque proactivo de formación para educar a los usuarios.

Las campañas de quishing del mundo real muestran lo efectivas que son al explotar la confianza y presionar a los usuarios con urgencia. A continuación se presentan algunos ejemplos de ataques de quishing que se destacaron en el Informe de Amenazas de Correo Electrónico de Barracuda 2025.

Suplantación de identidad de Microsoft

No es sorprendente que la marca de Microsoft se utilice a menudo como parte de los ataques de quishing, siendo los servicios de Microsoft 365 la identidad suplantada principal en alrededor del 51 % de todos los ataques analizados por Barracuda. Estos correos electrónicos a menudo instan a los usuarios a verificar sus cuentas o restablecer sus contraseñas escaneando un código QR que está incrustado en un documento PDF. El enlace redirige a un sitio web falso donde se roban las credenciales de usuario para ataques de usurpación de cuentas (ATO) una vez que se utilizan para iniciar sesión en el sitio.

Estafas de sextorsión de Bitcoin

Estos tipos de estafas aparecieron en alrededor del 12 % de los PDFs maliciosos en la investigación de Barracuda. Una estafa de sextorsión es un correo electrónico amenazante que es enviado por atacantes que afirman tener información altamente personal y comprometedora sobre un usuario, amenazando con divulgarla a menos que se realice un pago, generalmente en Bitcoin. El código QR se envía como un adjunto para que el usuario lo escanee y pague este rescate.

Suplantación de nómina de recursos humanos

Los cibercriminales suplantan al departamento de RR. HH. o Financiero y envían correos electrónicos instando a los empleados a actualizar sus datos personales, como los datos bancarios de la nómina u otra información financiera relevante. El código QR lleva al usuario a un sitio web falso que imita un portal interno. Si el código QR se accede a través de un dispositivo móvil cuando el usuario no está conectado a la red corporativa, las posibilidades de éxito son mucho mayores, ya que no hay escaneos de seguridad que interrumpan la conexión. Cuando el usuario intenta iniciar sesión con sus credenciales, los atacantes almacenan el nombre de usuario y la contraseña para obtener acceso a la red de la organización. A partir de ahí, se pueden lanzar más ataques, permitiendo a los cibercriminales infiltrarse en la red.

Técnicas avanzadas de evasión

Plataformas de Phishing as a Service (PhaaS) como el kit Gabagool PhaaS utilizan códigos QR divididos para eludir los escáneres de correo electrónico, haciendo que los códigos QR de quishing sean difíciles de interceptar. La plataforma Tycoon 2FA utiliza códigos QR anidados — códigos QR legítimos con contenido malicioso incrustado ya sea alrededor o dentro de ellos. Esta técnica también confunde a los escáneres de correo y a veces permite que estas cargas útiles maliciosas lleguen a la bandeja de entrada de un usuario.

Contrarrestar los ataques de quishing requiere una defensa en múltiples frentes. La formación en concienciación de los usuarios, la seguridad avanzada del sistema y mejores políticas deben trabajar en conjunto para detener esta amenaza en aumento.

• Herramientas avanzadas de seguridad del correo electrónico: Utilice plataformas modernas de protección del correo electrónico que emplean IA para escanear y procesar códigos QR, analizando sus cargas útiles en entornos seguros para detectar enlaces maliciosos antes de que lleguen a los usuarios.
• Formación de usuarios y formación en concienciación sobre seguridad: Los usuarios deben ser formados para identificar señales de alerta de quishing y contar con canales de reporte claramente definidos para correos electrónicos sospechosos que contengan códigos QR.
• Protocolos de autenticación de correo electrónico: Mejorar suplantación de correo electrónico defensas con DKIM, SPF y DMARC para verificar las identidades de los remitentes y bloquear el uso sospechoso de dominios.
• Autenticación multifactor (MFA): Refuerce las defensas con MFA para prevenir usurpaciones de cuentas. Incluso con credenciales robadas, los atacantes necesitan acceso a un segundo factor de autenticación para proceder con la autorización de inicio de sesión.
• Procesos de verificación: Los empleados deben estar obligados a verificar las solicitudes sospechosas a través de un canal alternativo antes de escanear códigos QR, especialmente si involucra información financiera o datos sensibles de la empresa.
• Monitoreo continuo y respuesta ante incidentes: Despliegue respuesta ante incidentes equipos y sistemas para ayudar a detectar indicadores de compromiso (IOC), con protocolos establecidos para bloquear automáticamente cuentas, emitir solicitudes de restablecimiento de contraseña y finalizar sesiones para inicios de sesión sospechosos.

El quishing es un problema grave que está ganando terreno, pero es solo una de las muchas amenazas en evolución que actualmente están afectando la seguridad del correo electrónico. A medida que los criminales siguen desarrollando nuevas técnicas que eluden las defensas tradicionales, las organizaciones necesitan utilizar soluciones de seguridad desarrolladas activamente que puedan mantenerse al día.

La protección del correo electrónico de Barracuda utiliza detección de amenazas impulsada por IA y monitoreo en tiempo real para proteger frente a quishing y otros ataques sofisticados. Utilice IA multimodal que analiza el contenido del correo electrónico, archivos adjuntos y objetos incrustados (incluidos los códigos QR) para identificar amenazas que los filtros heredados pasan por alto.

Descargue el Informe de amenazas de correo electrónico 2025 para obtener más información detallada sobre el panorama actual de amenazas, o inicie una prueba gratuita para ver cómo Barracuda Email Protection puede defender su organización frente a ataques de quishing.