Phishing con códigos QR: la nueva amenaza digital que ya quintuplicó los ataques en empresas

El phishing —una técnica de ciberataque en la que delincuentes se hacen pasar por entidades confiables para robar información sensible— está viviendo una nueva y peligrosa evolución: el uso de códigos QR como puerta de entrada a fraudes digitales.

En lugar de enlaces visibles, hoy basta con escanear un pequeño cuadrado para caer en un sitio falso que imita a bancos, empresas o plataformas corporativas.

El término proviene del inglés fishing (pescar) y describe con precisión la lógica de estos ataques: los delincuentes “pescan” víctimas desprevenidas usando cebos digitales. Correos electrónicos, mensajes de texto o notificaciones falsas simulan provenir de instituciones reales para inducir a la persona a entregar contraseñas, datos bancarios o números de tarjetas de crédito.

Durante años, estos ataques se apoyaron principalmente en enlaces visibles. Hoy, sin embargo, los códigos QR están reemplazando esos vínculos, haciendo el fraude más difícil de detectar.

El auge de los códigos QR maliciosos

Según datos de Kaspersky, los correos electrónicos de phishing que incorporan códigos QR aumentaron de 46.969 detecciones en agosto a 249.723 en noviembre de 2025, es decir, más de cinco veces en solo tres meses.

Esta tendencia preocupa especialmente a las empresas, ya que los códigos QR permiten ocultar enlaces maliciosos y empujan a los usuarios a interactuar desde sus teléfonos móviles, dispositivos que suelen tener menos capas de protección que los computadores corporativos.

Los QR suelen aparecer directamente en el cuerpo del correo o dentro de archivos PDF adjuntos, una estrategia que incrementa la sensación de legitimidad y reduce la desconfianza del usuario.

¿A dónde llevan estos códigos?

Los enlaces ocultos en los códigos QR pueden redirigir a:

• Formularios falsos que imitan inicios de sesión de servicios como Microsoft o portales internos.

• Supuestas notificaciones de recursos humanos que piden revisar documentos, calendarios o listas de personal.

• Facturas o confirmaciones de compra fraudulentas en PDF, muchas veces combinadas con llamadas telefónicas para reforzar el engaño.

El objetivo final es siempre el mismo: robar credenciales, tomar control de cuentas y abrir la puerta a fraudes financieros y filtraciones de datos.

Uno de los mayores riesgos de esta modalidad es que el escaneo del código QR se realiza fuera del entorno protegido del correo corporativo. La decisión queda en manos del empleado, que muchas veces actúa de forma automática, confiando en la apariencia del mensaje.

La combinación entre urgencia, formato visual y confianza en la comunicación empresarial reduce la capacidad de detectar el fraude y aumenta la probabilidad de que las credenciales sean comprometidas.

Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky, asegura que “los códigos QR maliciosos se han convertido en una de las herramientas de phishing más eficaces durante 2025, y así se espera que continúen en 2026, especialmente cuando se ocultan en archivos PDF adjuntos o se presentan como comunicaciones empresariales legítimas”.

Cómo protegerse frente al phishing con QR

Desde Kaspersky recomiendan un enfoque integral para enfrentar esta amenaza:

• Capacitar de manera continua a los empleados en la detección de correos sospechosos y en los riesgos de escanear códigos QR recibidos por email.

• Reforzar la protección de credenciales corporativas mediante autenticación multifactor y controles de acceso.

• Implementar soluciones especializadas de seguridad en el correo electrónico, capaces de bloquear spam, phishing, fraudes BEC y ataques que utilicen códigos QR.