Redicom
Abrir menú
Inicio / Blog / Quishing: el ataque que se esconde en los códigos QR que su equipo escanea a diario
Quishing: el ataque que se esconde en los códigos QR que su equipo escanea a diario
Tendencias y Amenazas Emergentes

Quishing: el ataque que se esconde en los códigos QR que su equipo escanea a diario

Por Germán Carrasco — CEO de Redicom, con 18 años de experiencia en Ciberseguridad
LinkedIn · Última actualización: Julio de 2026

Introducción

Su equipo escanea códigos QR todos los días. Para ver el menú en un restaurante, pagar en una gasolinera, acceder a un documento compartido o conectarse a la red WiFi de una reunión. Nadie se detiene a inspeccionar qué hay detrás del código. Es un gesto automático, rápido, confiable.

Los atacantes lo saben. Y por eso están usando ese gesto automático como puerta de entrada.

El quishing es una variante del phishing que usa códigos QR para dirigir al usuario a sitios falsos, descargas maliciosas o páginas diseñadas para robar credenciales. Su riesgo para las PyMEs radica en que combina tres debilidades: los QR ocultan la URL real, muchos filtros tradicionales no los inspeccionan adecuadamente y los empleados suelen escanearlos desde celulares personales fuera del control corporativo. La defensa no consiste en prohibir los QR, sino en capacitar al equipo, reforzar la autenticación, monitorear accesos anómalos y preparar una respuesta rápida ante incidentes.

El quishing — una combinación de “QR” y “phishing” — es un tipo de ciberataque que esconde enlaces maliciosos dentro de códigos QR. A diferencia del phishing tradicional por correo electrónico, donde el enlace sospechoso está visible en el texto, el quishing oculta la URL dentro de una imagen que muchos filtros de seguridad convencionales no logran analizar de forma consistente. Y hay un agravante: cuando el empleado escanea el código con su celular personal, el ataque se traslada fuera del perímetro de seguridad de la empresa — al dispositivo que ningún firewall corporativo protege.

Según el Anti-Phishing Working Group (APWG), los ataques de phishing basados en imagen crecieron un 400% hacia 2025. El quishing ya no es una curiosidad técnica: es un vector de ataque en plena expansión que explota la confianza cotidiana en los códigos QR.

¿Qué es el quishing y en qué se diferencia del phishing tradicional?

El quishing es un ataque de ingeniería social que utiliza códigos QR para dirigir a la víctima hacia una página falsa de inicio de sesión, una descarga de malware o un sitio diseñado para robar información confidencial. La mecánica es simple: el atacante genera un código QR que apunta a una URL maliciosa, lo embebe en un correo electrónico, un PDF adjunto o incluso un afiche físico, y espera a que alguien lo escanee.

Lo que hace al quishing fundamentalmente distinto del phishing tradicional no es la intención — sigue siendo robo de credenciales o instalación de malware — sino el mecanismo de entrega. En el phishing convencional, la URL maliciosa aparece como texto o enlace en el cuerpo del correo. Los filtros de seguridad de correo electrónico (conocidos como Secure Email Gateways o SEG) están diseñados para detectar esos enlaces: los extraen, los comparan contra bases de datos de reputación y los bloquean si son sospechosos.

Cuando la URL está codificada dentro de la imagen de un QR, esa cadena de detección se debilita significativamente. Muchos filtros ven un archivo de imagen — un JPEG, un PNG — y lo dejan pasar sin inspeccionar su contenido. Aunque algunas soluciones avanzadas ya incorporan análisis de QR, la mayoría de los gateways convencionales no decodifica de forma consistente la matriz de píxeles para extraer y evaluar la URL embebida.

Pero hay una segunda diferencia igual de importante: el cambio de dispositivo. Cuando un empleado recibe un enlace sospechoso en su correo corporativo y hace clic desde su computador de trabajo, el endpoint protection, el proxy web y el filtrado DNS de la empresa pueden intervenir. Cuando ese mismo empleado escanea un QR con su celular personal, el ataque ocurre en un dispositivo sin ninguna de esas capas de protección. El perímetro de seguridad corporativo queda completamente fuera de juego.

¿Cuánto ha crecido el quishing en los últimos años?

Las cifras son contundentes y muestran una tendencia acelerada:

  • El Anti-Phishing Working Group (APWG) documentó un aumento del 400% en ataques de phishing basados en imagen hacia 2025.
  • Keepnet Labs reportó un incremento del 587% en ataques de quishing específicamente.
  • ZenSec detectó 1,7 millones de códigos QR maliciosos únicos en adjuntos de correo electrónico entre octubre 2024 y marzo 2025.

¿Por qué crece tan rápido? Porque funciona. Un estudio de KnowBe4 y NordVPN encontró que el 73% de los usuarios escanean códigos QR sin verificar a dónde los dirige el enlace. Y según los benchmarks de Kymatio (2026), el tiempo promedio que tarda un usuario en hacer clic en un payload de phishing es de apenas 21 segundos. No hay tiempo para pensar. No hay momento de duda. El gesto es automático.

Para los atacantes, la ecuación es clara: el quishing ofrece un canal de entrega que evade los filtros automatizados, explota un hábito arraigado en los usuarios y mueve el ataque a dispositivos que las empresas no controlan. Es phishing con mejores probabilidades de éxito.

¿Cómo funciona un ataque de quishing paso a paso?

Imagine este escenario en una PyME chilena:

Paso 1 — El correo llega. Un empleado del área de administración recibe un correo que aparenta ser de Microsoft 365. El asunto dice: “Documento pendiente de firma — acción requerida”. El correo contiene un código QR y la instrucción: “Escanee el código para acceder al documento de forma segura”.

Paso 2 — El empleado escanea. Como el correo no tiene enlaces sospechosos visibles (solo una imagen), el filtro de correo no lo detuvo. El empleado saca su celular personal y escanea el QR. El código lo dirige a una URL.

Paso 3 — La página falsa. La URL abre una página idéntica al inicio de sesión de Microsoft 365. Mismo logo, mismos colores, mismo diseño. Todo parece legítimo. El empleado ingresa su correo corporativo y su contraseña.

Paso 4 — Las credenciales son capturadas. El atacante recibe las credenciales en tiempo real. El empleado ve un mensaje de “sesión expirada” o es redirigido al sitio real de Microsoft 365, sin sospechar nada.

Paso 5 — El acceso comprometido. Con las credenciales robadas, el atacante accede al correo corporativo del empleado, revisa conversaciones, descarga archivos confidenciales y puede lanzar ataques internos adicionales — como enviar correos fraudulentos desde esa misma cuenta a clientes o proveedores.

Todo esto ocurre en menos de dos minutos. Y en el celular personal del empleado, donde la empresa no tiene visibilidad ni control.

¿Por qué las PyMEs son especialmente vulnerables al quishing?

Las grandes empresas pueden invertir en gateways de correo con análisis de imágenes, sistemas de gestión de dispositivos móviles (MDM) y programas formales de concientización. La mayoría de las PyMEs no tiene ninguna de esas capas.

Según el Hiscox Cyber Readiness Report 2025, el 59% de las PyMEs sufrió al menos un ciberataque en los últimos 12 meses. Y el Verizon DBIR 2025 confirma que las pequeñas empresas experimentan casi cuatro veces más brechas confirmadas que las organizaciones grandes. No porque sean objetivos más valiosos — sino porque son más fáciles de vulnerar. Menos recursos para defensa significan más probabilidad de éxito para el atacante.

En una PyME típica, la vulnerabilidad al quishing se manifiesta en varios frentes simultáneos:

  • Sin filtrado avanzado de correo. La mayoría opera con la protección nativa de Microsoft 365 o Google Workspace, que puede no ser suficiente si no está complementada con políticas adecuadas y análisis avanzado de contenido. Un estudio citado por TitanHQ encontró que casi el 20% de los correos de phishing evade la detección de Microsoft 365 Exchange Defender y Exchange Online Protection — una brecha que se amplía cuando el payload viene codificado en una imagen QR.
  • Celulares personales sin gestión. Los empleados usan sus propios dispositivos para escanear códigos QR. Sin MDM (Mobile Device Management), la empresa no puede aplicar políticas de seguridad, verificar actualizaciones ni bloquear URLs maliciosas en esos equipos.
  • QR integrados en la vida diaria. Ver el menú en un restaurante, pagar combustible en la gasolinera, acceder a WiFi en oficinas de clientes, boletas electrónicas con QR. El código QR está tan normalizado que ya no genera ninguna sospecha — y eso es exactamente lo que lo hace peligroso.
  • Baja inversión en capacitación. Sin un programa formal de concientización, los empleados no tienen herramientas para distinguir un QR legítimo de uno malicioso. Y cuando el 73% de las personas escanea sin verificar, la estadística trabaja a favor del atacante.

¿Su equipo sabe distinguir un QR legítimo de uno malicioso?

Solicite un Cyber Health Check para evaluar la exposición real de su empresa a ataques de ingeniería social — incluyendo vectores como el quishing que los filtros tradicionales no detectan.

¿Cómo proteger a su empresa del quishing sin frenar la operación?

La buena noticia: protegerse del quishing no requiere eliminar los códigos QR de la operación ni invertir en tecnología de nivel enterprise. Requiere aplicar defensa en capas — el mismo principio que funciona contra cualquier amenaza de ciberseguridad.

Capa 1: Concientización del equipo

La primera línea de defensa es que las personas sepan que el riesgo existe. Tres reglas simples pueden reducir significativamente la exposición:

  • Nunca ingresar credenciales en una página a la que se llegó escaneando un QR, sin antes verificar la URL completa en la barra del navegador.
  • Desconfiar de QR en correos electrónicos que piden “acción urgente” — especialmente si simulan ser de Microsoft, Google o bancos.
  • No escanear códigos QR físicos pegados sobre otros códigos — un método común en gasolineras, estacionamientos y espacios públicos donde los atacantes pegan un QR falso encima del legítimo.

Estas reglas son fáciles de comunicar y no requieren conocimiento técnico. Un taller de 30 minutos puede marcar la diferencia.

Capa 2: Controles técnicos

  • Endpoint protection con anti-phishing. Soluciones como ESET PROTECT o Sophos Intercept X detectan URLs maliciosas en tiempo real, incluso si el usuario llegó a ellas desde un código QR. Si el enlace apunta a un sitio de phishing conocido o a una descarga de malware, el endpoint lo bloquea.
  • MFA resistente a phishing. La autenticación multifactor tradicional (SMS, código por app) puede ser evadida en ataques de phishing en tiempo real. Los estándares FIDO2 (llaves físicas de seguridad o passkeys) son resistentes a este tipo de ataques porque validan el dominio real del sitio — si la página es falsa, la autenticación simplemente no se completa.
  • Políticas de acceso condicional. Configurar alertas o bloqueos cuando se detectan inicios de sesión desde dispositivos no reconocidos o ubicaciones inusuales. Microsoft 365 y Google Workspace permiten esto de forma nativa.

Capa 3: Monitoreo y respuesta

  • Detección de accesos anómalos. Si las credenciales se comprometen, la detección temprana del uso no autorizado es la última barrera antes del daño real. Servicios de monitoreo continuo o MDR (Managed Detection and Response) pueden identificar inicios de sesión sospechosos y contener el incidente antes de que escale.
  • Plan de respuesta a incidentes. Definir qué hacer si un empleado reporta haber escaneado un QR sospechoso: cambio inmediato de contraseñas, revisión de actividad reciente en la cuenta, notificación al equipo de soporte. La velocidad de respuesta determina el alcance del daño.

Cómo Redicom puede ayudar

El quishing no se resuelve con una sola herramienta — se resuelve con capas de protección que trabajan juntas. Redicom acompaña a las PyMEs en la construcción de esas capas:

Protección del endpoint. Implementación y gestión de soluciones como ESET PROTECT y Sophos Intercept X, que incluyen detección de URLs maliciosas y anti-phishing en tiempo real — la capa que interviene cuando el QR ya fue escaneado.

Capacitaciones de concientización. Talleres prácticos para equipos, enfocados en reconocer ataques de ingeniería social como el quishing, el phishing por correo y las estafas por suplantación de identidad. Orientados a PyMEs, con lenguaje claro y ejemplos reales.

Soporte Gestionado y MDR. Monitoreo continuo que detecta accesos anómalos a cuentas corporativas — la señal más temprana de que las credenciales fueron comprometidas. Permite contener el incidente antes de que el atacante acceda a información crítica.

Cyber Health Check. Evaluación de la postura de seguridad de la empresa, incluyendo la exposición a ataques de ingeniería social, la configuración de accesos y la madurez de las políticas de respuesta a incidentes.

Conclusión

El código QR que su empleado escanea mañana podría ser la puerta de entrada de un ataque. No porque el QR sea una tecnología peligrosa — sino porque los atacantes aprendieron a convertir un gesto de confianza en un vector de compromiso.

El quishing funciona porque explota tres cosas al mismo tiempo: filtros de correo que no leen imágenes, usuarios que escanean sin verificar y celulares personales que ningún firewall corporativo alcanza. Esa combinación no se resuelve con una sola medida.

La defensa efectiva requiere capas: personas que sepan reconocer el riesgo, tecnología que bloquee las URLs maliciosas y monitoreo que detecte el compromiso si las primeras capas fallan. Ninguna PyME necesita un presupuesto de gran empresa para implementar esto — pero sí necesita hacerlo antes de que el primer QR malicioso llegue a la bandeja de entrada de alguien de su equipo.

Proteja a su equipo antes de que un código QR se convierta en un incidente

El quishing es un riesgo real y creciente. Converse con Redicom para evaluar su exposición y activar las capas de protección que su empresa necesita.

Preguntas frecuentes

¿Qué es el quishing?
El quishing es un tipo de ataque de phishing que utiliza códigos QR para dirigir a la víctima a sitios maliciosos. El término combina “QR” y “phishing”. A diferencia del phishing por enlace de texto, el quishing evade los filtros de correo porque la URL maliciosa está codificada dentro de una imagen.
¿Cómo puedo distinguir un código QR legítimo de uno malicioso?
A simple vista, no se puede. La clave es verificar la URL después de escanear y antes de ingresar cualquier dato. Si la dirección no corresponde exactamente al dominio esperado (por ejemplo, muestra “micros0ft-365.com” en lugar de “microsoft.com”), no ingrese sus credenciales y cierre la página inmediatamente.
¿Mi antivirus puede detectar un ataque por código QR?
Depende de la solución. Un antivirus básico probablemente no, porque el ataque se inicia en el celular, fuera de su alcance. Pero las soluciones de endpoint protection avanzadas como ESET PROTECT o Sophos Intercept X pueden bloquear la URL maliciosa en tiempo real si el usuario intenta acceder desde un dispositivo protegido.
¿Qué debo hacer si un empleado ya escaneó un código QR sospechoso?
Actuar rápido: (1) cambiar inmediatamente las contraseñas de las cuentas que pudo haber ingresado, (2) activar o verificar que el MFA esté habilitado, (3) revisar la actividad reciente de la cuenta en busca de accesos no reconocidos, (4) notificar al equipo de soporte o al proveedor de TI. Si hubo compromiso de credenciales, considere que el atacante pudo haber accedido a correos, archivos y contactos.
¿La Ley 21.663 obliga a protegerse contra este tipo de ataques?
La Ley 21.663 no regula específicamente el quishing, pero las organizaciones alcanzadas por sus obligaciones deben gestionar riesgos de ciberseguridad, implementar controles y contar con capacidades de respuesta a incidentes. Los ataques de ingeniería social — como el quishing — deberían considerarse dentro de ese marco de gestión, especialmente en lo que respecta a concientización del personal y controles de acceso.
Germán Carrasco

Escrito por Germán Carrasco

CEO de Redicom, con 18 años de experiencia en Ciberseguridad

LinkedIn