Escanear un código QR se ha convertido en un gesto automático. Lo hacemos en restaurantes, estacionamientos, tiendas y hasta en correos electrónicos corporativos. Esa confianza ciega es exactamente lo que los ciberdelincuentes explotan con una técnica llamada quishing, un tipo de phishing que utiliza códigos QR como vector de ataque. En enero de 2026, el FBI emitió una alerta oficial identificando a grupos de hackers patrocinados por estados que utilizan esta técnica contra organizaciones en Estados Unidos. El problema ya no es teórico: es una amenaza activa que afecta a personas y empresas en todo el mundo.
Cómo funciona el quishing
El término “quishing” combina “QR” y “phishing”. El mecanismo es sencillo pero efectivo. Un atacante genera un código QR que redirige a una página web fraudulenta diseñada para robar credenciales de acceso, datos personales o información financiera. La diferencia clave con el phishing tradicional es que, al recibir un enlace de texto, puedes pasar el cursor sobre él y ver la URL antes de hacer clic. Con un código QR, no existe esa posibilidad. Escaneas primero y evalúas después, si es que evalúas.
Los filtros de seguridad del correo electrónico están entrenados para detectar enlaces maliciosos en texto. Pero un código QR dentro de un email es solo una imagen. Los sistemas de seguridad no decodifican imágenes para verificar las URLs que contienen. El enlace se resuelve en el teléfono personal de la víctima, que normalmente está fuera del perímetro de seguridad de la organización. Según datos de Cofense, los correos de quishing llegan a las bandejas de entrada con tasas significativamente más altas que los emails de phishing convencional.
Las cifras que explican la urgencia
Los números no dejan lugar a dudas. El 12% de todos los ataques de phishing en 2025 contenían un código QR, según estadísticas recopiladas por Keepnet Labs. Los correos electrónicos de phishing basados en QR pasaron de aproximadamente 47,000 en agosto de 2025 a más de 249,000 en noviembre del mismo año, un aumento del 500% en apenas tres meses. El 68% de estos ataques se dirigieron específicamente a usuarios de dispositivos móviles. Y casi el 90% de las campañas de quishing tienen como objetivo robar credenciales de acceso a correos corporativos, plataformas en la nube y herramientas de acceso remoto.
La inteligencia artificial ha potenciado esta amenaza. Los delincuentes ahora utilizan IA para crear páginas de phishing realistas en minutos, personalizar los ataques según el perfil de cada víctima y adaptar sus métodos en tiempo real para evadir nuevas defensas.
El ataque funciona en el mundo físico también
El quishing no se limita al correo electrónico. Los atacantes colocan pegatinas con códigos QR falsos sobre los legítimos en restaurantes, parquímetros, carteles publicitarios y paradas de transporte público. Una persona que escanea el código de un menú puede terminar en una página que imita la del restaurante pero que captura los datos de su tarjeta de crédito. En ciudades de Europa y América Latina se han documentado casos donde los estafadores reemplazan códigos QR de sistemas de bicicletas compartidas y máquinas expendedoras.
El problema es que nadie desconfía de un código QR impreso en un lugar público. Parece oficial. Parece seguro. Y esa percepción es el arma principal del quishing.
Por qué la mensajería es un canal de riesgo
Los códigos QR maliciosos también se distribuyen a través de aplicaciones de mensajería. Un contacto comprometido puede enviar un código QR aparentemente inofensivo: una supuesta promoción, un enlace a un evento o una invitación para unirse a un grupo. Al escanearlo desde el teléfono, la víctima accede directamente a la página fraudulenta sin pasar por ningún filtro de seguridad.
Las apps de mensajería que no verifican enlaces ni ofrecen cifrado extremo a extremo robusto facilitan la propagación de este tipo de ataques. Sin protección adecuada, un solo código QR malicioso puede comprometer una conversación grupal entera, exponiendo a decenas de personas. La ingeniería social a través de aplicaciones de mensajería ya era un problema grave; el quishing lo amplifica.
Cómo protegerte del quishing
La primera regla es simple: nunca escanees un código QR sin verificar su origen. Si recibes uno por correo electrónico, pregúntate si esperabas ese mensaje. Si encuentras uno en un lugar público, comprueba que no haya una pegatina sobrepuesta. Activa la función de vista previa de URL en tu escáner de códigos QR: la mayoría de los teléfonos modernos muestran la dirección antes de abrirla. Si la URL parece sospechosa o no coincide con la marca que supuestamente representa, no la abras.
En el entorno corporativo, las organizaciones deben implementar políticas claras sobre el uso de códigos QR en comunicaciones internas y capacitar a sus empleados para reconocer señales de quishing.
PhizChat: mensajería diseñada para protegerte
PhizChat aborda el problema desde la raíz. Como app de mensajería segura, implementa cifrado extremo a extremo en todas las comunicaciones, lo que significa que ningún intermediario puede interceptar o modificar los mensajes que envías y recibes. Pero la protección va más allá del cifrado. PhizChat está diseñada con un enfoque de seguridad integral que prioriza la privacidad del usuario en cada capa de la aplicación.
En un mundo donde escanear un simple código QR puede abrir la puerta a un ataque sofisticado, comunicarte a través de canales seguros no es un lujo: es una necesidad. PhizChat ofrece exactamente eso: un espacio donde tus conversaciones, datos y credenciales permanecen protegidos frente a las amenazas digitales actuales, incluido el quishing.
Preguntas frecuentes
¿Qué es el quishing y en qué se diferencia del phishing?
El quishing es phishing realizado mediante códigos QR en lugar de enlaces de texto. La diferencia principal es que no puedes ver la URL de destino antes de escanear el código, lo que dificulta detectar el fraude.
¿Cómo puedo saber si un código QR es malicioso?
Activa la vista previa de URL en tu escáner. Si la dirección no corresponde al sitio esperado, contiene errores ortográficos o redirige a un dominio desconocido, no la abras.
¿Las apps de mensajería pueden propagar ataques de quishing?
Sí. Los códigos QR maliciosos se comparten a través de chats y grupos. Una app de mensajería segura con cifrado extremo a extremo, como PhizChat, reduce significativamente el riesgo de que terceros inyecten contenido malicioso en tus conversaciones.
¿Por qué el FBI emitió una alerta sobre quishing en 2026?
Porque grupos de hackers patrocinados por estados, como el grupo norcoreano Kimsuky, utilizan activamente códigos QR para robar credenciales de organizaciones gubernamentales y centros de investigación en Estados Unidos.
Android
iOS