GuiaNacho G.8 min de lectura

Phishing con Código QR (Quishing): Cómo Protegerte

El quishing creció un 400 % desde 2023 y ya es el 12 % de los ataques de phishing. Aprende a detectar QR falsos y protegerte sin tecnicismos.

Phishing con Código QR (Quishing): Cómo Protegerte

Este articulo fue escrito por el equipo de QR Nova. Desarrollamos software de codigos QR, lo que puede influir en nuestra perspectiva.

La mayoría de guías de seguridad sobre el phishing con códigos QR entierran los consejos prácticos bajo páginas de definiciones, o te ofrecen una lista tan genérica que podría aplicarse a cualquier amenaza digital. Mientras tanto, los ataques de quishing crecieron un 400 % entre 2023 y 2025 y ya representan el 12 % de todo el phishing. Esto es lo que funciona de verdad. El phishing con código QR, llamado quishing, explota un hecho muy simple: la URL de destino dentro de un código QR es invisible hasta que lo escaneas. Los atacantes usan ese punto ciego para saltarse los filtros de email, redirigirte a páginas de robo de credenciales y autorizar pagos fraudulentos. La defensa es igualmente simple: nunca abras el destino sin verificarlo antes.

TL;DR

  • Quishing = phishing con código QR. La URL está oculta en el código, no puedes ver a dónde va antes de escanear.
  • Los ataques crecieron un 400 % de 2023 a 2025; los códigos QR representan ya el 12 % de todos los intentos de phishing (Keepnet Labs, 2026).
  • Principales vectores de ataque: pegatinas colocadas sobre códigos legítimos, códigos QR en PDFs adjuntos a emails para eludir filtros de spam, facturas falsas y códigos en parquímetros.
  • Defensa: usa un lector que previsualice la URL, verifica el dominio antes de pulsar, y trata cualquier código QR inesperado como potencialmente hostil.

¿Qué es el phishing con código QR (quishing)?

Generate your first QR code — free

Empezar

El phishing con código QR, quishing, es un ataque en el que un código QR malicioso redirige al escáner a un sitio web falso, una descarga de malware o una página de autorización de pago. El término combina "QR" y "phishing". A diferencia de un enlace sospechoso en un email sobre el que un usuario precavido podría pasar el ratón para ver la URL, la URL dentro de un código QR es completamente invisible hasta que ya has apuntado tu cámara hacia él y tu teléfono ha seguido la redirección.

La superficie de ataque es más amplia de lo que la mayoría cree. Un código QR puede codificar cualquier URL, el código en sí no lleva ningún indicador de intención. Es solo una matriz de cuadrados blancos y negros. Un código impreso en la mesa de un restaurante, pegado en un parquímetro, o adjunto a un email con apariencia oficial es indistinguible de uno malicioso sin leer primero su contenido codificado.

Esto es lo que hace que el quishing sea estructuralmente diferente del phishing tradicional por email. Las pasarelas de seguridad de correo llevan años aprendiendo a detectar enlaces maliciosos. Un código QR incrustado en un PDF adjunto se salta toda esa capa, la pasarela ve una imagen, no una URL, y la deja pasar. A principios de 2026, este vacío es una de las principales razones por las que el quishing ha escalado tan rápido.

Los datos: así está el quishing en 2026

Los ataques de phishing con códigos QR aumentaron un 400 % entre 2023 y 2025, según el análisis de Keepnet Labs. Solo entre agosto y noviembre de 2025, los incidentes de quishing se multiplicaron por 5, pasando de unos 46.000 a 250.000 casos documentados al mes. A principios de 2026, los códigos QR representan aproximadamente el 12 % de todos los ataques de phishing, con un 68 % de estos ataques dirigidos a usuarios móviles, el principal dispositivo de escaneo de códigos QR.

El informe de inteligencia de amenazas de ZenSec de 2025 identificó 1,7 millones de códigos QR maliciosos únicos en archivos adjuntos de email a lo largo del año. El Informe de Defensa Digital de Microsoft señaló más de 15.000 correos electrónicos de phishing con código QR diarios dirigidos al sector educativo. Estas cifras son casi con seguridad subestimaciones, los códigos QR en entornos físicos (pegatinas, materiales impresos) no generan datos en el lado del servidor y rara vez se reportan formalmente.

Las marcas más suplantadas en campañas de quishing en 2025 fueron Mastercard (14.233 códigos maliciosos documentados) y Microsoft (11.796), según datos de Keepnet. Los servicios financieros y los proveedores de identidad en la nube son los objetivos principales porque el robo de credenciales en estas plataformas genera el mayor valor posterior.

Cómo operan los atacantes con códigos QR falsos

Los ataques de quishing adoptan varias formas distintas, cada una adaptada a diferentes entornos y objetivos. Entender la mecánica ayuda a reconocerlos en la práctica.

El ataque de pegatina sobre pegatina

El método de quishing más peligroso físicamente: un delincuente imprime una pegatina con un código QR y la coloca encima del código legítimo de un parquímetro, una tarjeta de mesa de restaurante, un cartel o el cartel de entrada de un edificio. La víctima ve el contexto legítimo que rodea el código, el cartel oficial, el ambiente familiar del restaurante, y confía en el código por asociación.

En 2022 y 2023, la ciudad de Austin (Texas) reportó decenas de parquímetros comprometidos donde pegatinas de quishing cubrían los códigos de pago legítimos. Los conductores que escaneaban los códigos falsos eran redirigidos a una página de pago que recogía datos de tarjeta de crédito pero nunca procesaba ningún pago de aparcamiento. Las pegatinas eran visualmente indistinguibles de las originales a primera vista.

Códigos QR en archivos adjuntos de email (evasión de seg)

Las pasarelas de email seguro (SEG) escanean en busca de enlaces maliciosos en el cuerpo y los adjuntos de los correos. Un código QR incrustado en una imagen PDF se salta completamente este escaneo, la pasarela procesa un JPEG o PNG, no una URL. El atacante envía una factura falsa, una actualización de política de RRHH o una notificación de paquete con un código QR. El destinatario, al que se le dice que "escanee el código para confirmar la recepción", lo escanea con su teléfono, que está fuera del perímetro de seguridad corporativo, y acaba en una página de robo de credenciales.

Esta técnica es la razón por la que el phishing con código QR se aceleró en entornos empresariales. El Informe de Ciberseguridad de Acronis para 2026 identificó el phishing con código QR como una técnica de evasión de primer nivel precisamente porque canaliza los ataques a través de dispositivos móviles personales que eluden la detección de endpoints corporativos.

Códigos falsos de WiFi, eventos y comercio

Los códigos QR en espacios públicos, vestíbulos de hoteles para acceso WiFi, recintos de eventos para registro, tiendas de retail para programas de fidelización, atraen a personas distraídas, en movimiento y que esperan escanear algo. Un atacante que coloque un código QR de "WiFi gratis" falso en una cafetería o en la sala de espera de un aeropuerto puede capturar credenciales de decenas de usuarios al día. No hace falta ningún montaje complicado.

Suplantación de servicios gubernamentales y de suministros

Las campañas de quishing suplantan cada vez más a servicios gubernamentales: códigos QR de devolución de impuestos (Hacienda en España, IRS en EE.UU.), facturas de servicios con códigos de pago QR, notificaciones de tráfico. Funcionan porque el ciudadano medio tiene poca desconfianza ante correo oficial impreso que parece auténtico.

Por qué el 73 % de los usuarios escanea sin comprobar

Investigaciones de KnowBe4 y NordVPN encontraron que el 73 % de los usuarios escanea códigos QR sin verificar a dónde va el enlace. No es una cuestión de inteligencia, es una cuestión de fricción. La defensa tradicional contra el phishing se basa en hacer que los usuarios se paren y evalúen. Los códigos QR eliminan esa pausa: el acto físico de apuntar la cámara y el acto digital de seguir un enlace ocurren en menos de dos segundos, sin ninguna URL visible que inspeccionar.

Los navegadores móviles lo agravan. En un ordenador de escritorio, una URL sospechosa es inmediatamente visible en texto grande. En un navegador móvil, la barra de direcciones es pequeña, a menudo truncada, y la mayoría de usuarios nunca la mira, están centrados en el contenido de la página que se ha cargado. Una página de inicio de sesión falsa convincente no necesita una URL perfecta si los usuarios nunca la comprueban.

El problema más profundo es la confianza física. Un código QR impreso en un menú, en señalización oficial o dentro de un edificio de acceso restringido se siente categorialmente diferente de un enlace en un email no solicitado. El mundo físico ha generado confianza durante siglos. Los atacantes están explotando esa confianza directamente.

Cómo reconocer un código QR malicioso

No hay manera visual de distinguir un código QR legítimo de uno malicioso mirando el patrón. La defensa contra el quishing es procedimental, no visual. Estas son las señales concretas que vale la pena comprobar:

Busca pegatinas

Antes de escanear cualquier código QR en una superficie física, especialmente terminales de pago, parquímetros o señalización pública, busca indicios de que se ha colocado una pegatina encima del código original. Un ligero desalineamiento, bordes con burbujas, textura de papel diferente o el contorno de una pegatina alrededor del código son indicadores. En una mesa de restaurante, comprueba que todas las mesas tienen códigos iguales en la misma posición, un ataque de pegatina suele ser inconsistente en toda la sala.

Previsualiza la URL antes de abrirla

Usa un lector QR que te muestre la URL de destino antes de abrirla. La cámara nativa de iOS 16 en adelante hace esto: muestra una pequeña previsualización de la URL en la parte inferior de la pantalla cuando apuntas la cámara a un código QR, antes de pulsar. La mayoría de apps de escaneo QR dedicadas muestran la URL para revisarla. Conviértelo en un hábito leerla antes de pulsar.

Verifica el dominio exacto

Las páginas de quishing usan dominios similares al original: paypa1.com, microsott.com, amazon-security.net. Comprueba que el dominio coincide exactamente con la organización. Los subdominios son un truco habitual, "paypal.com.security-check.net" parece legítimo a una lectura rápida, pero el dominio real es "security-check.net", no paypal.com. El dominio es todo lo que hay a la derecha de la última barra antes del primer segmento de ruta.

Trata los códigos QR inesperados como hostiles por defecto

Cualquier código QR que haya llegado de forma no solicitada, en un email que no pediste, en un correo que no esperabas, en un cartel que apareció recientemente, merece el mismo nivel de escepticismo que una llamada fría pidiéndote los datos de tu cuenta bancaria. Los servicios legítimos casi nunca necesitan que escanees un código QR cuando pueden enviarte simplemente un hipervínculo. Cuando sí usan códigos QR (tarjetas de embarque, entradas de eventos, configuración de 2FA), es en un contexto que tú iniciaste.

Los casos de fallo que las guías genéricas pasan por alto

La mayoría de guías sobre quishing cubren los escenarios obvios. Estos son los modos de fallo que omiten:

Quishing en facturas PDF (vulnerabilidad B2B)

Los equipos de finanzas procesan docenas de facturas de proveedores cada día. Un PDF con una factura que contiene un código QR etiquetado como "escanea para confirmar la recepción" llega de un remitente que parece ser un proveedor establecido, la suplantación del nombre es trivial. El miembro del equipo de finanzas lo escanea para procesar el documento rápidamente, sin sospechar que un código QR en una factura sea inusual. Este vector de ataque ha repuntado en entornos B2B porque los emails relacionados con facturas son de alto volumen y se tratan como rutina.

Quishing en eventos físicos

Los quioscos de registro en congresos, los puestos de pulseras de eventos y los escáneres de acreditaciones en ferias comerciales usan cada vez más códigos QR. Un atacante que imprime y coloca un código QR de registro falso cerca del puesto legítimo captura credenciales de asistentes y potencialmente datos de acreditación corporativa. Los eventos físicos son entornos de baja seguridad, el personal está centrado en el flujo de personas, no en la verificación.

Suplantación interna de it

Una campaña de phishing interna que suplanta al helpdesk de IT enviando un código QR de "actualización de seguridad obligatoria" para configurar la autenticación multifactor es especialmente efectiva. Los empleados están condicionados a cumplir con las solicitudes de IT. Un código QR enmarcado como "obligatorio, escanea para registrar tu nuevo dispositivo" sortea el escepticismo que los usuarios podrían aplicar a correos externos.

Cómo proteger tu organización

La vigilancia individual importa, pero las defensas organizativas son más fiables. Los controles prácticos que reducen la exposición al quishing:

  • Configura la SEG para marcar códigos QR en adjuntos: Las plataformas modernas de seguridad de email, incluyendo Proofpoint, Mimecast y Microsoft Defender, ofrecen ahora extracción de contenido de códigos QR. Activarlo significa que la URL incrustada se analiza en lugar de dejar pasar la imagen sin comprobar.
  • Despliega detección de amenazas móviles (MTD): Las soluciones MTD pueden inspeccionar URLs en el momento de la apertura en un dispositivo móvil, proporcionando una segunda verificación después de que se escanea el código QR.
  • Forma al personal específicamente sobre el ataque de pegatina: La formación genérica de phishing que no aborda los ataques con código QR físico se pierde el vector de entrega más común.
  • Desactiva la apertura automática de URL en los ajustes del lector QR: Tanto en iOS como en Android, el escaneo QR puede configurarse para previsualizar la URL en lugar de abrirla inmediatamente. Este único ajuste añade la pausa crítica que la mayoría de usuarios se salta.
  • Para ubicaciones físicas: plastifica tus códigos QR: Un código plastificado es más difícil de cubrir con una pegatina. Para códigos de pago, verifica periódicamente el código escaneándolo tú mismo y confirmando el destino.

Cuándo usar códigos QR de forma segura — y cuándo no

Los códigos QR no son intrínsecamente peligrosos, son un formato de codificación neutro. El riesgo depende del contexto. Estas son las situaciones en las que los códigos QR son seguros de crear y distribuir sin añadir riesgo a tu audiencia:

  • Códigos estáticos apuntando a destinos conocidos y permanentes: Un código QR de URL que creas tú mismo, apuntando a tu propio dominio, es tan seguro como cualquier enlace en tu sitio web. El riesgo de los códigos estáticos es casi totalmente en el lado receptor (verificar que el código físico no ha sido manipulado).
  • WiFi en instalaciones propias: Un código QR de WiFi generado en tus propias instalaciones para invitados los conecta a tu red, nada más. No hay capa de redirección ni URL que suplantar.
  • Entradas de eventos y tarjetas de embarque que tú solicitaste: Los códigos QR que tú pediste (app de aerolínea, plataforma de entradas) son legítimos por definición porque tú iniciaste su generación.

La categoría que añade riesgo: los códigos QR dinámicos gestionados por plataformas de terceros. Si una plataforma es comprometida, si la URL corta es secuestrada, o si el dominio de un proveedor caduca y es re-registrado por un atacante, un código dinámico previamente legítimo puede volverse malicioso sin que el propietario haya hecho nada mal.

Cómo enfoca QR nova la seguridad del código

El problema de confianza en los códigos QR va más allá del phishing. Incluye quién controla el destino y qué pasa cuando ese control cambia. Los códigos estáticos de QR Nova codifican la URL directamente, no hay capa de redirección ni servidor de plataforma en la cadena. Si creas un código QR apuntando a tu propio sitio web, el código apunta a tu sitio web. Permanentemente. Sin cuenta necesaria, sin renovación, sin servidor de terceros que pueda ser comprometido o dejado caducar.

Para los usuarios preocupados por la seguridad de los códigos QR que reciben, el mismo principio aplica: un código que apunta directamente a un dominio que reconoces, no a través de una redirección de URL corta, es más seguro por diseño. Crea un código QR de enlace directo gratis en QR Nova, sin registro requerido, y ofrece a tu audiencia un código que pueden verificar a primera vista.

El quishing es una brecha explotable precisamente porque la mayoría de códigos QR usan capas de redirección, URLs cortas que ocultan el destino final. Reducir la dependencia de los códigos dinámicos basados en redirección, donde el destino no es visible hasta la respuesta final del servidor, cierra uno de los principales vectores en los que se apoyan los atacantes.

Preguntas frecuentes

¿Qué es el quishing?

El quishing es el phishing mediante códigos QR, un ataque en el que un código QR malicioso te redirige a un sitio web falso diseñado para robar tus credenciales, instalar malware o autorizar un pago fraudulento. El término combina 'QR' y 'phishing'. A diferencia de los enlaces en correos electrónicos, la URL de destino está oculta dentro del patrón del código QR y es invisible hasta que lo escaneas.

¿Qué tan común es el phishing con códigos QR en 2026?

Los ataques de phishing mediante códigos QR aumentaron un 400 % entre 2023 y 2025, y los incidentes de quishing crecieron 5 veces entre agosto y noviembre de 2025, de unos 46.000 a 250.000 casos al mes. A principios de 2026, los códigos QR representan aproximadamente el 12 % de todos los ataques de phishing, según datos recopilados por Keepnet Labs.

¿Puede hackearse mi teléfono con solo escanear un código QR?

Escanear un código QR con la cámara no ejecuta ningún código en tu dispositivo. El riesgo proviene de la URL a la que el código te envía: una página de phishing que te engaña para que introduzcas credenciales, un sitio que explota una vulnerabilidad del navegador, o una solicitud de pago. Tu cámara está a salvo, tu navegador es la superficie de ataque.

¿Cómo verifico un código QR antes de escanearlo?

Usa una app de escaneo QR que te muestre la URL de destino antes de abrirla, la mayoría de apps especializadas hacen esto, al igual que la cámara nativa de iOS 16 en adelante. Comprueba que el dominio de la URL coincide exactamente con la organización esperada (los atacantes suelen usar dominios similares como 'paypa1.com' en lugar de 'paypal.com'). Si un código QR aparece en un cartel o en un espacio público y su URL te resulta desconocida, no lo escanees.

¿Qué debo hacer si he escaneado un código QR malicioso?

Si escaneaste un código sospechoso pero no introdujste ningún dato: cierra la pestaña del navegador de inmediato. Si introdujiste credenciales: cambia la contraseña de esa cuenta inmediatamente y activa la autenticación de dos factores. Si autorizaste un pago: contacta con tu banco o proveedor de pagos. Si instalaste una app: elimínala y ejecuta un análisis de seguridad. Informa del incidente a tu equipo de IT si usas un dispositivo de trabajo.

¿Son seguros los códigos QR en los correos electrónicos?

Los códigos QR en correos electrónicos son un vector de ataque importante, en 2025 se detectaron 1,7 millones de códigos QR maliciosos únicos solo en archivos adjuntos de email. Trata los códigos QR en correos no solicitados o inesperados con el mismo nivel de sospecha que aplicarías a un enlace de un remitente desconocido. Las empresas legítimas raramente necesitan enviarte un código QR por email cuando pueden simplemente enviarte un hipervínculo.

¿Cómo utilizan los delincuentes el phishing con códigos QR?

Los métodos de quishing más habituales incluyen: colocar una pegatina con código QR falso encima de uno legítimo en un parquímetro o mesa de restaurante; incrustar códigos QR maliciosos en archivos PDF adjuntos para eludir los filtros de enlaces en el email; enviar correos de facturas falsas o notificaciones de paquetes con códigos QR; y reemplazar físicamente los códigos de registro de eventos. El ataque de pegatina sobre pegatina es especialmente difícil de detectar porque el contexto circundante (el cartel legítimo, el ambiente del restaurante) genera confianza.

Generate your first QR code — free

Empezar