¿Recuerdas el 2020? Lo escaneamos Códigos QR Para todo. Menús de restaurantes. Parquímetros. Ese momento incómodo en una boda cuando alguien quería que escanearas un código en lugar de firmar en el libro de visitas.
Nos pusimos cómodos. Quizás demasiado cómodos.
CiberHoot escribió sobre esta amenaza allá por 2019Otros, como ProofPoint, escribieron más a medida que los ataques aumentaban en octubre de 2023. ProofPoint detectó algo sospechoso. Aparecían códigos QR en correos electrónicos de phishing, que simulaban ser mensajes de RR. HH. sobre nóminas. Escaneabas el código, te solicitaban una contraseña y perdías la tuya. Así de simple. El personal de seguridad advirtió a todos, publicó entradas de blog y esperaba que la gente se diera cuenta.
Adelantándonos a enero de 2026, el FBI acaba de emitir nuevas advertencias sobre hackers norcoreanos que usan códigos QR para robar credenciales y distribuir malware. ¿Por qué? Porque todavía funcionan con algunas personas; ¡pero no con usted, ya no!
El problema es el siguiente: cuando escaneas un código QR en un correo electrónico en tu computadora del trabajo, el ataque salta a su teléfono¿Y tu teléfono? Probablemente tenga mucha menos seguridad que tu portátil. Sin firewall corporativo. Sin monitoreo. Solo tú, tu aplicación de cámara y un sitio web malicioso que parece totalmente legítimo.
Esta técnica a veces se denomina “quishing” (QR + phishing), que es un nombre terrible pero un ataque efectivo.
¿La buena noticia? No se necesita un presupuesto enorme de seguridad para protegerse de esto. Solo se necesita la concienciación de todos y algunos hábitos inteligentes.
Pro Tip: ¿Aprendes rápido? Pasa a la hoja de trucos del final y vuelve para obtener más detalles cuando los necesites.
Un código QR es simplemente una URL oculta disfrazada.
Si no harías clic en un enlace aleatorio en un correo electrónico, tampoco escanees un código QR aleatorio. Mismo riesgo. Mismas reglas. Este cambio de mentalidad detiene la mayoría de los ataques QR. pistas puntos y lineas.
El phishing de códigos QR funciona porque primero escaneamos y luego pensamos. Al revés.
Antes de apuntar tu cámara hacia ese pequeño cuadrado, pregúntate:
¡Tres segundos de hacer preguntas inteligentes es la forma de formar hábitos cibernéticos seguros!
Probablemente tengas antivirus en tu ordenador del trabajo. ¿Y en tu teléfono?
La mayoría de los códigos QR se escanean en teléfonos, no en portátiles. Si su empresa ofrece software de seguridad móvil o de gestión de dispositivos, instálelo. Si trabaja solo, Considere una aplicación de seguridad móvil confiable.
Tu teléfono merece la misma protección que tu computadora, especialmente si lo usas para trabajar.
Una de las defensas más simples: hacer que tu teléfono te muestre a dónde conduce un código QR antes de abrir cualquier cosa.
Instrucciones para iPhones:
Al escanear un código QR con la app Cámara, iOS muestra un banner con la URL. No lo toques inmediatamente. Mantén presionado el banner para previsualizar el enlace. Observa el dominio. ¿Tiene sentido? ¿Es la empresa que esperabas?
También puedes desactivar “Texto en vivo"en Configuración > General > Idioma y regiónEsto evita el escaneo accidental de códigos QR desde capturas de pantalla o fotos que alguien te envía.
Para Android:
La mayoría de los teléfonos Android ya te muestran el destino antes de abrir. Asegúrate de que "Abrir enlaces compatibles" está desactivado en la configuración de Chrome, por lo que nada se abre automáticamente. Quieres ese momento extra para inspeccionar.
A los atacantes les encanta la urgencia. Desactiva el filtro del escepticismo.
Los temas más comunes de phishing de códigos QR incluyen:
Cuando ves urgencia más un código QR, esa es tu señal para reducir la velocidad, no para acelerar.
¿Necesitas restablecer tu contraseña? ¿Actualizar tu información de pago? ¿Cambiar tu configuración de MFA? Nunca escanee un código QR para estas acciones.
En lugar de eso, abre tu navegador, escribe la dirección del sitio web e inicia sesión a la antigua usanza. Tarda 15 segundos más. Además, hace que los códigos QR que roban credenciales sean completamente inútiles.
¿Ves la etiqueta "[EXTERNO]" al principio de algunos correos electrónicos de trabajo? Eso te indica que este mensaje vino de fuera de tu organización, básicamente, de alguien del ciberespacio.
Cuando veas ese banner y un código QR, piénsalo dos veces antes de escanearlo. Los correos electrónicos externos con códigos QR merecen mayor escepticismo. Esa pequeña advertencia está ahí para ayudarte. Úsala.
¿Recibiste un correo electrónico con un código QR de alguien que no conoces? ¿De una empresa con la que no trabajas? ¿Sobre un tema que parece extraño?
Confía en tu instinto. Bórralo.
Las empresas legítimas no envían información importante mediante un código QR en un correo electrónico. Si le parece extraño, probablemente no lo sea. En caso de duda, contacte directamente con la empresa a través de su sitio web oficial o su número de teléfono, no a través de ningún mensaje incluido en ese correo electrónico.
Si su empresa realiza simulacros de phishing, no se asuste al encontrar uno. Estas pruebas existen para ayudarle a reconocer patrones y practicar, no para avergonzar a nadie.
Si escaneas un código QR simulado por error, acabas de aprender algo valioso sin consecuencias reales. De eso se trata.
El objetivo es desarrollar tus instintos para que puedas detectar los ataques reales cuando lleguen.
¿Ves algo sospechoso? Di algo.
La mayoría de las empresas tienen una forma de reportar correos electrónicos sospechosos. Úsala. Cada vez que reportas un intento de phishing con código QR, no solo te proteges a ti mismo, sino también a todos los demás miembros de tu equipo.
No te preocupes por equivocarte. Los equipos de seguridad prefieren comprobar 100 falsas alarmas antes que pasar por alto un ataque real. Reportar correos electrónicos sospechosos nunca es una molestia. Es justo lo que quieren que hagas.
Los códigos QR no van a desaparecer. Ni tampoco los atacantes que los usan.
Pero aquí están las buenas noticias: No necesitas un título en seguridad ni herramientas costosas para protegerte. Solo necesitas ir más despacio, preguntar y confiar en tu instinto.
La próxima vez que recibas un correo electrónico con un código QR, detente. Observa quién lo envió. Piensa si tiene sentido. Previsualiza el enlace antes de escanearlo.
Eso es todo. Esa es la defensa.
Eres más inteligente de lo que estos ataques te atribuyen. Aprovecha esos momentos extra para demostrarlo.
Elige una cosa de esta lista y comienza a hacerla hoy.
Quizás sea el hábito de "pausar y preguntar" antes de escanear. Quizás sea ajustar la configuración del teléfono para previsualizar primero los enlaces. Quizás simplemente sea convertirse en la persona que realmente lee ese banner [EXTERNO].
No necesitas hacerlo todo a la vez. Un solo hábito te hace más seguro hoy que ayer.
Y eso es algo que vale la pena comentar.
Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.
No es sorprendente que surjan problemas El verano pasado, el director interino de una importante agencia de ciberseguridad de EE. UU. subió...
Leer más
Y cómo solucionarlos. Déjame hacer una suposición fundamentada. Te cambiaste a Google Workspace porque se suponía que...
Leer más
¿Recuerdan Heartbleed? Esa pesadilla de seguridad de hace unos años que hizo que todos entraran en pánico por...
Leer másObtenga una visión más clara de los riesgos humanos, con un enfoque positivo que supera las pruebas de phishing tradicionales.
