Quishing explicado: por qué el phishing con códigos QR se duplicó en el último año
El quishing es phishing entregado como un código QR en lugar de un enlace clicable, y los casos reportados casi se duplicaron en el último año porque la técnica esquiva las defensas que solo leen texto. Si alguna vez has escaneado una pegatina sobre un parquímetro, un SMS de "entrega fallida" con una imagen QR, o un código impreso dentro de un paquete inesperado, ya conoces la superficie de ataque que están aprovechando.
¿Qué es el quishing?
Quishing es un acrónimo de QR y phishing. El código QR codifica una URL. Esa URL apunta a una página que roba credenciales o a una descarga de malware. Es el mismo guion que los phishers han usado durante dos décadas, con un giro: el cebo es un cuadrado de píxeles blancos y negros en lugar de un enlace azul. La FTC sigue el rastro de esta técnica desde 2023, y Wikipedia ya la lista como un vector reconocido de phishing.
El truco es mecánico. Un código QR es solo una codificación visual de texto —normalmente, una URL—. La mayoría de las pasarelas de correo, los proxies web seguros y los escáneres de enlaces SMS analizan texto. No aplican OCR a píxeles. Así que una URL maliciosa escondida dentro de un cuadrado de 600 píxeles pasa de largo por la reputación de URL, la reescritura de enlaces y la mayoría de los controles de listas blancas.
Tú escaneas con tu teléfono. Tu teléfono carga la URL. Aterrizas en una página que parece de Microsoft 365, Okta, tu banco o un servicio de paquetería. Tecleas tu contraseña. El atacante ya la tiene. Los cebos más comunes en 2025 y 2026 son las pegatinas sobre parquímetros, los SMS falsos de entrega, los paquetes de la estafa "brushing" con una nota de "escanea para ver quién lo envía", los avisos falsos de tribunales o multas de tráfico, y las pantallas de inscripción de autenticación multifactor de Microsoft 365.
Por qué el quishing despegó este último año
Coincidieron tres cambios estructurales.
El hueco entre píxel y texto. Las pasarelas de seguridad de correo analizan el texto de los enlaces. No analizan imágenes. Un código QR renderizado como PNG, incrustado en un PDF o pegado en un adjunto de Word es invisible para la puntuación de reputación de URL. Un reportaje de BleepingComputer muestra que los mismos controles que bloquean el 95% del phishing con enlaces de texto dejan pasar las URL en QR sin tocarlas.
El traspaso al móvil. Cuando escaneas, dejas de usar el dispositivo que protege la empresa. El portátil corporativo y su protección de endpoint salen de la cadena. Tu teléfono toma el relevo, con una barra de URL recortada que oculta los subdominios falsificados y una tienda de apps llena de escáneres QR que abren las URL sin previsualizarlas. Cualquier filtro que pillara el correo original no llega a ver el clic real.
Adopción por actores estatales. En junio de 2025, el FBI advirtió sobre el grupo Kimsuky, vinculado a Corea del Norte, usando códigos QR en correos de spear-phishing enviados a firmas de política y estrategia en EE. UU. Cuando una técnica entra en el manual de un APT, el ecosistema más amplio del cibercrimen la copia en cuestión de meses. La calidad sube. El volumen sube. La detección cae.
Esa combinación es lo que produjo el titular de la duplicación. Más vectores, menos filtros, mejores cebos.
Cómo detectar un intento de quishing
Casi nunca se nota desde la imagen. Cualquier código QR parece ruido visual al ojo humano. La verificación ocurre después del escaneo, en la previsualización de la URL que muestra la cámara de tu teléfono antes de abrir nada.
Unas pocas reglas cubren la mayoría de los casos. No escanees códigos QR de nada que no hayas pedido —un mensaje de un número desconocido, un correo que no esperabas, o una pegatina superpuesta sobre un código existente en un parquímetro o una mesa de restaurante—. Cuando aparezca la previsualización, mira el dominio, no la ruta. Si el dominio no coincide con la marca que el cebo dice ser, detente. Las cadenas largas y aleatorias, los acortadores de enlaces y las direcciones IP son banderas rojas. Trata cualquier página que pida una contraseña, una tarjeta de pago o una identificación oficial inmediatamente después de un escaneo QR como sospechosa por defecto: abre el sitio de la empresa directamente desde tu navegador. Para una guía más a fondo, lee nuestra guía general de escaneo seguro de códigos QR.
Qué hacer si ya escaneaste
Trátalo como una brecha de credenciales confirmada. Cambia la contraseña de esa cuenta de inmediato y luego la de cualquier otra cuenta que comparta la misma contraseña. Activa la autenticación multifactor resistente al phishing —una passkey, una llave de hardware o una app de autenticación, no SMS—. Pide un informe de crédito gratuito en AnnualCreditReport.com y revisa el último mes de movimientos de tarjeta y cuenta bancaria. Si se introdujo dinero o datos de identidad, la respuesta recomendada por la FTC es presentar un informe en IdentityTheft.gov y considerar congelar tu crédito.
Preguntas frecuentes
¿Qué es el quishing en pocas palabras?
El quishing es phishing que llega como un código QR en lugar de un enlace clicable. El atacante esconde una URL de inicio de sesión falso o de malware dentro de una imagen QR para que pase los filtros de correo y SMS, que solo analizan texto. Tú escaneas el código con el teléfono y aterrizas en una página que parece de Microsoft, tu banco o un servicio de paquetería —y cualquier contraseña que escribas va directa al atacante.
¿Por qué el quishing casi se duplicó en el último año?
Pasaron tres cosas a la vez. Las pasarelas de correo siguen sin leer píxeles, así que una imagen QR esquiva las mismas defensas que detectan un enlace de texto. Los atacantes aprendieron que el escaneo ocurre en un teléfono personal, fuera de las protecciones que la empresa pone en el portátil. Y la técnica empezó a aparecer en manuales de actores estatales como Kimsuky, lo que la empujó a un conjunto mucho más amplio de campañas.
¿Cómo puedo saber si un código QR es malicioso antes de escanearlo?
Casi nunca puedes saberlo desde la imagen —cada código QR parece ruido al ojo humano—. La verificación ocurre después del escaneo, en la previsualización de la URL. La mayoría de las cámaras de teléfono modernas muestran la URL de destino antes de abrirla. Si el dominio no coincide con la marca que dice representar el código, si es una cadena larga y aleatoria, si pasa por un acortador de enlaces o si la página pide de inmediato una contraseña o un pago, retrocede.
¿Qué debo hacer si ya escaneé un QR de quishing y escribí mi contraseña?
Trátalo como una brecha de credenciales confirmada. Cambia la contraseña de esa cuenta de inmediato y luego la de cualquier otra cuenta que comparta la misma contraseña. Activa la autenticación de dos factores, idealmente con una passkey o llave de hardware en lugar de SMS. Pide un informe de crédito gratuito en AnnualCreditReport.com y vigila tus movimientos de tarjeta y banco durante las próximas semanas. Si hay dinero o datos de identidad de por medio, presenta un informe en IdentityTheft.gov.
<script type="application/ld+json"> { "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ {"@type": "Question", "name": "¿Qué es el quishing en pocas palabras?", "acceptedAnswer": {"@type": "Answer", "text": "El quishing es phishing que llega como un código QR en lugar de un enlace clicable. El atacante esconde una URL de inicio de sesión falso o de malware dentro de una imagen QR para que pase los filtros de correo y SMS, que solo analizan texto. Tú escaneas el código con el teléfono y aterrizas en una página que parece de Microsoft, tu banco o un servicio de paquetería —y cualquier contraseña que escribas va directa al atacante."}}, {"@type": "Question", "name": "¿Por qué el quishing casi se duplicó en el último año?", "acceptedAnswer": {"@type": "Answer", "text": "Pasaron tres cosas a la vez. Las pasarelas de correo siguen sin leer píxeles, así que una imagen QR esquiva las mismas defensas que detectan un enlace de texto. Los atacantes aprendieron que el escaneo ocurre en un teléfono personal, fuera de las protecciones que la empresa pone en el portátil. Y la técnica empezó a aparecer en manuales de actores estatales como Kimsuky, lo que la empujó a un conjunto mucho más amplio de campañas."}}, {"@type": "Question", "name": "¿Cómo puedo saber si un código QR es malicioso antes de escanearlo?", "acceptedAnswer": {"@type": "Answer", "text": "Casi nunca puedes saberlo desde la imagen —cada código QR parece ruido al ojo humano—. La verificación ocurre después del escaneo, en la previsualización de la URL. La mayoría de las cámaras de teléfono modernas muestran la URL de destino antes de abrirla. Si el dominio no coincide con la marca que dice representar el código, si es una cadena larga y aleatoria, si pasa por un acortador de enlaces o si la página pide de inmediato una contraseña o un pago, retrocede."}}, {"@type": "Question", "name": "¿Qué debo hacer si ya escaneé un QR de quishing y escribí mi contraseña?", "acceptedAnswer": {"@type": "Answer", "text": "Trátalo como una brecha de credenciales confirmada. Cambia la contraseña de esa cuenta de inmediato y luego la de cualquier otra cuenta que comparta la misma contraseña. Activa la autenticación de dos factores, idealmente con una passkey o llave de hardware en lugar de SMS. Pide un informe de crédito gratuito en AnnualCreditReport.com y vigila tus movimientos de tarjeta y banco durante las próximas semanas. Si hay dinero o datos de identidad de por medio, presenta un informe en IdentityTheft.gov."}} ] } </script>En resumen
El quishing despegó porque la técnica esquiva las capas de detección existentes y ya la usan tanto estafadores oportunistas como actores estatales. La parte que te toca arreglar es pequeña y concreta: previsualiza la URL antes de tocarla, no escanees nada que no hayas pedido y usa autenticación multifactor resistente al phishing en las cuentas que importan. QRDock previsualiza cada URL antes de abrirla y comprueba la seguridad del destino —exactamente el hueco que el quishing está diseñado para explotar, y el hueco que cierra un escaneo cuidadoso.