El uso de códigos QR maliciosos enviados a través de correos electrónicos, se multiplicó por cinco tan sólo en los últimos meses del año pasado y se prevé que el problema siga creciendo exponencialmente en 2026, porque estos códigos permiten ocultar enlaces maliciosos.
“Los delincuentes están explotando cada vez más los códigos QR como vector de ataque, pues se detectó que mientras en agosto de 2025 ocurrieron 46 mil 969 ataques de este tipo, para noviembre llegaron a 249 mil 723, es decir, un aumento de más de cinco veces”, advirtió la empresa de ciberseguridad Kaspersky.
Los ataques de phishing a través de códigos QR resultan muy eficientes para los delincuentes, porque permiten ocultar enlaces maliciosos, lo que se traduce en mayor robo de credenciales, accesos no autorizados y posibles brechas de datos en entornos corporativos.
Por otra parte, los códigos QR suelen incrustarse directamente en el cuerpo del correo electrónico que los delincuentes envían a sus potenciales víctimas, aunque ahora han evolucionado al colocarlos dentro de archivos adjuntos de PDF, lo que contribuye a ocular los enlaces y anima a los usuarios a escanearlos con sus teléfonos móviles.
Esto último se explica porque usualmente, los celulares, tanto corporativos como personales suelen tener herramientas de seguridad más débiles que las PC de trabajo o incluso a veces carecen del todo de esa protección.
El peligro aumenta porque los códigos QR maliciosos se usan por igual en campañas masivas de phishing que en ataques dirigidos a individuos en particular.
En ambos casos, estas estafas pueden llevar a formularios que suplantan páginas de inicio de sesión de servicios como cuentas de Microsoft o portales corporativos internos, diseñados para robar nombres de usuario, contraseñas y otras credenciales.
También pueden conducir a falsas notificaciones de recursos humanos, que instantáneamente a los empleados a revisar o firmar documentos, como calendarios de vacaciones, o incluso a consultar listas de personal despedido, dirigiéndolos finalmente a sitios de robo de credenciales.
Otra táctica de los delincuentes que han detectado Kaspersky, es el uso de códigos QR que llevan a las víctimas a facturas o confirmaciones de compra fraudulentas en archivos PDF adjuntos.
Con frecuencia, este tipo de fraude viene combinado con tácticas de vishing, también conocido phishing por voz, que incitan a las víctimas a llamar a números de teléfono proporcionados para “cancelar” o aclarar la transacción, lo que permite nuevos ataques de ingeniería social.
“Estas tácticas explotan la confianza en las comunicaciones empresariales rutinarias y pueden derivar en robo de credenciales, toma de control de cuentas, filtraciones de datos y fraude financiero”.
Y si bien el número de ataques es significativo, en especial por la velocidad del crecimiento, el principal riesgo radica en la interacción con los usuarios.
“A diferencia de los enlaces tradicionales, los códigos QR trasladan la decisión de seguridad al
empleado, quien suele escanearlos de forma automática y fuera del entorno protegido del correo
corporativo”.
Los delincuentes apuestan al factor humano, combinado con la urgencia y legitimidad aparente de los mensajes, para disminuir la posibilidad de que se detecte el fraude y así aumentar la posibilidad de robo de credenciales, “abriendo la puerta a accesos no autorizados y ataques posteriores dentro de la organización”.
De ahí que la capacitación continúa a los empleados sea una de las claves, con especial énfasis en la identificación de correos sospechosos y en los riesgos de escanear códigos QR recibidos a través del correo electrónico.
También se recomienda reformar la protección de credenciales corporativas, mediante la autentificación multifactor y el establecimiento de controles de acceso más exigentes para minimizar el impacto de posibles robos de credenciales derivados de campañas de phishing.
C$T-EVP
