Analizar el origen de los mensajes, evitar escaneos automáticos y reportar incidentes sospechosos son medidas esenciales ante una técnica de evasión que crece en frecuencia y sofisticación
El panorama de la ciberseguridad corporativa cambia rápidamente, y una de las amenazas que más preocupa en 2026 es el uso creciente de códigos QR maliciosos en campañas de phishing.
Según datos recientes de la empresa de ciberseguridad Kaspersky, la detección de correos fraudulentos que incluyen estos códigos se incrementó de menos de 50.000 en agosto a casi 250.000 en noviembre de 2025, una señal de alarma para empresas y empleados.
¿Por qué los códigos QR se han vuelto una herramienta de ataque tan eficaz?
El atractivo de los códigos QR para los ciberdelincuentes radica en su capacidad para ocultar enlaces maliciosos y eludir la atención de las soluciones de seguridad tradicionales.
Empresas bajo amenaza: la explosión del phishing por QR exige nuevas estrategias de protección y formación – crédito Imagen Ilustrativa Infobae
A diferencia de los enlaces visibles, los códigos QR trasladan la decisión de seguridad al usuario, quien suele escanearlos con su teléfono móvil fuera del entorno protegido del correo corporativo. Esto debilita los controles y facilita el robo de credenciales, el acceso no autorizado y la filtración de datos internos.
Cómo funcionan los fraudes con códigos QR en correos electrónicos
En la mayoría de los casos, los códigos QR están incrustados directamente en el cuerpo del correo o, de forma más sofisticada, dentro de archivos adjuntos en PDF. El usuario recibe un mensaje que parece legítimo, con la estética de servicios como Microsoft, plataformas corporativas o incluso recursos humanos. Entre los ganchos más habituales se encuentran:
- Formularios de inicio de sesión falsos: El QR dirige a páginas que imitan portales oficiales y buscan robar nombres de usuario y contraseñas.
- Notificaciones de recursos humanos: Correos que solicitan revisar documentos importantes, como calendarios de vacaciones o listas de personal, pero que llevan a sitios fraudulentos.
- Facturas y confirmaciones de compra: Archivos PDF que aparentan ser documentos de cobros o reembolsos, pero que ejecutan nuevas tácticas de ingeniería social, como el vishing (phishing por voz).
En todos los casos, la urgencia y la apariencia legítima del mensaje hacen que el usuario baje la guardia y escanee el código sin verificar su autenticidad.
Quiénes son los más afectados con la estafa de los códigos QR
El eslabón humano sigue siendo el punto más vulnerable; revisar los permisos y concienciar sobre los peligros de los escaneos no verificados es fundamental para evitar filtraciones y fraudes – (Imagen Ilustrativa Infobae)
El principal riesgo no está solo en la cantidad de correos detectados, sino en la interacción humana. Los empleados, acostumbrados a escanear códigos QR en restaurantes, eventos y procesos cotidianos, suelen hacerlo automáticamente, sin considerar los riesgos en el entorno laboral.
Al hacerlo desde un dispositivo personal, fuera de los filtros corporativos, el ataque puede eludir las defensas y comprometer sistemas internos.
Además, una vez que el dispositivo móvil está involucrado, el malware puede propagarse, robar información adicional y facilitar el movimiento lateral hacia otros sistemas conectados.
Las consecuencias de estos ataques pueden ser graves: robo de credenciales, acceso a cuentas corporativas, filtración de datos sensibles y fraude financiero. El informe de Kaspersky señaló que esta técnica de evasión de bajo costo se está consolidando como una de las más eficaces y persistentes, con tendencia a crecer en 2026.
El incremento en el uso de códigos QR por parte de atacantes refuerza la necesidad de políticas claras, soluciones antimalware y capacitación continua para todos los empleados – (Imagen Ilustrativa Infobae)
El daño reputacional y las pérdidas económicas pueden ser significativas, sobre todo en organizaciones que no cuentan con protocolos de capacitación ni herramientas avanzadas de análisis de imágenes en sus sistemas de correo.
Cómo protegerse frente a los fraudes con códigos QR
Los expertos recomiendan varias medidas para mitigar el riesgo:
- Capacitación continua: Educar a los empleados sobre cómo identificar correos sospechosos y los peligros de escanear códigos QR recibidos por email.
- No escanear códigos QR de correos no verificados: Ante la duda, consulta con el remitente por otro canal o utiliza solo los proporcionados por fuentes confiables.
- Refuerzo de credenciales: Implementar autenticación multifactor y controles de acceso para reducir el impacto si se comprometen claves.
- Soluciones de seguridad actualizadas: Adoptar herramientas de análisis de imágenes y bloqueo de archivos adjuntos sospechosos.
- Políticas claras de manejo de correos y archivos adjuntos: Limitar la apertura de documentos y enlaces desconocidos, y reportar incidentes sospechosos a los equipos de IT.
La tendencia al alza en el uso de códigos QR maliciosos en correos electrónicos es un llamado de atención para empresas y usuarios individuales. La prevención y la educación son las mejores defensas frente a estos ataques, que explotan la confianza y la rutina digital.