1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

¿Qué es el «quishing» (phishing con códigos QR)?

Shanti Nair

Última actualización: June 10, 2026

Escanear un código QR se ha convertido en algo tan habitual como hacer clic en un enlace. La gente utiliza los códigos QR para pagar facturas, acceder a servicios y compartir información, y el proceso suele llevar solo unos segundos. Sin embargo, un simple escaneo puede llevar a veces a una página web falsa creada para robar datos. Esa es la idea que subyace a los ataques de «quishing».

El quishing es una forma de phishing que utiliza códigos QR para engañar a las personas y que visiten sitios web fraudulentos. Estas estafas suelen tener como objetivo las credenciales de inicio de sesión, la información de pago y las cuentas empresariales.

Esta guía explica cómo funciona el quishing, por qué lo utilizan los atacantes y cuáles son los grupos con mayor riesgo. También encontrarás consejos prácticos para evitar estafas comunes y descubrirás cómo encaja el quishing en el debate más amplio sobre si los códigos QR son seguros.

Índice

¿Qué es el quishing?
El quishing en cifras: a qué ritmo crece la amenaza
Cómo funciona un ataque de quishing
Por qué el quishing elude la seguridad tradicional del correo electrónico
Ejemplos reales de quishing
¿A quiénes suelen dirigirse los ataques de quishing?
Cómo proteger a tu organización contra el quishing
Mantén el control sobre los códigos QR que crea tu empresa
Preguntas frecuentes

¿Qué es el quishing?

El quishing es un tipo de ataque de phishing que oculta una URL maliciosa dentro de la imagen de un código QR en lugar de un enlace de texto en el que se puede hacer clic. El nombre es una combinación de «código QR» y «phishing», y el objetivo es el mismo que el de cualquier ataque de phishing: llevarte a un sitio web falso para que los atacantes puedan robar tus credenciales de inicio de sesión, instalar malware o recopilar tus datos de pago.

Lo que diferencia al quishing es el método de entrega. La URL maliciosa está incrustada en un código QR que lee la cámara de tu teléfono. No se encuentra en el cuerpo de un correo electrónico, donde los filtros de seguridad pueden escanearla.

Los ataques de quishing aumentaron un 587 % en 2023, según Keepnet, lo que convierte al phishing con códigos QR en una de las técnicas de phishing de más rápido crecimiento en la actualidad.

El quishing se suma a otros tres tipos de ataques relacionados dentro de la familia del phishing.

Tipo de ataque	Vector principal	Método de entrega	Herramienta de seguridad que normalmente lo detecta	Por qué el quishing lo elude
Phishing	Correo electrónico	Enlace de texto en el que se puede hacer clic	Filtros de seguridad del correo electrónico y comprobaciones de reputación de URL	N/A (línea de base)
Smishing	SMS	Mensaje de texto con enlace	Filtros de operadores móviles y herramientas de detección de amenazas móviles	N/A
Vishing	Llamada de voz	Llamada telefónica con ingeniería social	Herramientas de filtrado de identificador de llamadas y detección de fraude de voz	N/A
Quishing	Correo electrónico, material impreso o superficies físicas	Imagen de código QR incrustada en un correo electrónico, PDF, póster, factura o cartel	Muchas herramientas de seguridad del correo electrónico se centran en las URL visibles, los enlaces y los indicadores basados en texto	La URL maliciosa se oculta dentro de una imagen de código QR y, a menudo, se abre en un dispositivo móvil independiente fuera de los controles de seguridad de la organización

La tabla anterior es importante porque el quishing aprovecha una brecha que muchas defensas tradicionales contra el phishing no fueron diseñadas originalmente para abordar. En lugar de pedir a las víctimas que hagan clic en un enlace visible, los atacantes ocultan el destino dentro de una imagen de código QR. En muchos casos, el escaneo se realiza entonces en un dispositivo móvil independiente, fuera de los controles de seguridad que normalmente inspeccionan el tráfico web.

Los ataques de quishing suelen producirse a través de dos canales.

El primero es el correo electrónico, donde un atacante incrusta un código QR en un mensaje, un archivo adjunto o un PDF y anima al destinatario a escanearlo.
El segundo es el mundo físico, donde se coloca una pegatina con un código QR falso sobre uno legítimo en un parquímetro, una mesa de cafetería, un quiosco de vestíbulo o un tablón de anuncios público. Ambos métodos se basan en el mismo comportamiento: escanear un código sin verificar primero a dónde conduce.

El quishing en cifras: a qué velocidad crece la amenaza

El auge del quishing no es un riesgo futuro. Ya está ocurriendo a gran escala. Según un análisis de Keepnet Labs, los ataques de quishing se dispararon un 587 % en 2023, lo que convierte al phishing con códigos QR en una de las amenazas cibernéticas de más rápido crecimiento en los últimos años.

Otras estadísticas apuntan a la misma tendencia:

Solo en el primer trimestre de 2025 se detectaron 4,2 millones de amenazas basadas en códigos QR.
El 89,3 % de los ataques basados en códigos QR estaban diseñados para robar credenciales de inicio de sesión.
Se produjeron 42 veces más ataques de «quishing» dirigidos a altos ejecutivos que a empleados no ejecutivos.
El 26 % de los enlaces maliciosos enviados por correo electrónico estaban incrustados en códigos QR en lugar de presentarse como hipervínculos tradicionales.
Microsoft informa de que bloquea una media de más de 18 millones de correos electrónicos de phishing únicos que contienen un código QR en el cuerpo del mensaje cada semana, y alrededor de 3 millones de correos electrónicos de phishing con códigos QR únicos al día.

Los datos también revelan cómo operan los atacantes. Casi 9 de cada 10 ataques basados en códigos QR se centran en el robo de credenciales, a menudo dirigiendo a las víctimas a páginas de inicio de sesión falsas que imitan marcas y herramientas empresariales de confianza. Según el Informe sobre amenazas de correo electrónico del primer semestre de 2024 de Abnormal Security, los ejecutivos son un objetivo preferido porque tienen acceso a sistemas sensibles, aprobaciones financieras y datos de la empresa.

Según la empresa de ciberseguridad NordVPN, el 73 % de los estadounidenses escanean códigos QR sin verificarlos, y más de 26 millones ya han sido redirigidos a sitios maliciosos. Al ocultar el destino dentro de una imagen, los atacantes pueden animar a las víctimas a cambiar de un dispositivo de trabajo supervisado a un teléfono personal, donde los controles de seguridad pueden ser más débiles.

El crecimiento del «quishing» sigue de cerca el aumento de la adopción de los códigos QR. Los menús sin contacto, los pagos móviles, los registros en eventos y los flujos de autenticación han convertido el escaneo de códigos QR en una parte habitual de la vida cotidiana. A medida que el escaneo se ha convertido en un hábito de confianza, los atacantes han ganado una nueva forma de llevar a cabo campañas de phishing sin depender de los enlaces tradicionales.

Cómo funciona un ataque de quishing

Un ataque de quishing se desarrolla en seis etapas. La brecha de seguridad crítica se abre entre el paso tres y el paso cuatro.

Paso 1: El atacante genera el código QR malicioso

El atacante crea un código QR que apunta a una URL maliciosa. A menudo se trata de un sitio de recopilación de credenciales, una página de descarga de malware o un portal de pago falso. Los atacantes pueden utilizar códigos QR dinámicos en esta etapa. Un código QR dinámico almacena el destino en un servidor en lugar de en el propio código. De este modo, el atacante puede cambiar la URL de destino tras la distribución para adelantarse a las listas negras de URL.

Paso 2: Incrustar el código QR en el señuelo

El atacante inserta la imagen del código QR como PNG o JPG dentro de un correo electrónico de phishing. Una versión más sofisticada incrusta el código en un archivo PDF adjunto, como una factura, un documento de RR. HH. o un aviso de cumplimiento normativo. Las imágenes incrustadas en PDF son objeto de un escrutinio aún menor por parte de los escáneres automatizados.

Paso 3: El correo electrónico pasa los filtros de seguridad corporativos

La víctima recibe el correo electrónico en un ordenador portátil o dispositivo corporativo. Las herramientas estándar de seguridad del correo electrónico analizan el cuerpo de los mensajes en busca de URL maliciosas conocidas, enlaces de texto sospechosos y dominios marcados. El código QR es una imagen. La URL maliciosa dentro de la imagen es invisible para los filtros de análisis de texto. El correo electrónico llega a la bandeja de entrada.

Paso 4: La víctima escanea el código con su teléfono móvil personal

El correo electrónico indica al destinatario que escanee el código con su teléfono. El señuelo puede afirmar que el enlace es más cómodo en el móvil, o imitar un restablecimiento de la autenticación multifactorial (MFA) que requiere un teléfono. La víctima coge su dispositivo personal y escanea.

Paso 5: El navegador móvil abre la página de phishing

El teléfono móvil personal se encuentra fuera del perímetro de seguridad corporativo. La mayoría de los dispositivos personales carecen de software de gestión de dispositivos móviles (MDM). La red privada virtual (VPN) corporativa no está activa. El navegador sigue la URL descodificada y muestra la página del atacante.

Paso 6: Recopilación de credenciales o instalación de malware

La víctima introduce sus credenciales en la página de inicio de sesión falsa, realiza un pago falso o descarga una aplicación que parece ser necesaria. El atacante captura los datos.

El «pivote» del dispositivo, que es el traspaso de un dispositivo corporativo a un teléfono móvil personal entre los pasos tres y cuatro, es la razón estructural por la que el quishing funciona donde el phishing estándar falla. El ataque aprovecha dos perímetros de seguridad distintos, y ninguno de ellos detecta la cadena completa.

📝Nota: La amenaza del quishing es un problema distinto al uso legítimo de los códigos QR por parte de las empresas.

Una empresa que crea códigos QR para menús, eventos o documentos necesita su propio marco de seguridad. Este marco debe incluir dominios verificados, análisis de escaneo y URL de destino controladas.

En consecuencia, la seguridad de los códigos QR para las empresas va más allá de la prevención de estafas e incluye decisiones sobre la selección de plataformas, la gestión de códigos y las políticas de implementación.

Por qué el quishing elude la seguridad tradicional del correo electrónico

La mayoría de los correos electrónicos de phishing contienen un enlace en el que se puede hacer clic. Las herramientas de seguridad pueden inspeccionar ese enlace, comprobar su reputación y bloquearlo si parece sospechoso. El quishing funciona de manera diferente. En lugar de colocar el enlace en el correo electrónico, los atacantes lo ocultan dentro de un código QR.

Aquí hay tres razones por las que el quishing puede ser más difícil de detectar que el phishing tradicional.

1. La URL maliciosa está oculta dentro de una imagen

Las herramientas de seguridad del correo electrónico están diseñadas para escanear texto, enlaces y dominios. Un código QR es una imagen, por lo que es posible que la URL de destino no aparezca en ninguna parte del texto visible del correo electrónico.

Los proveedores de seguridad utilizan ahora el análisis de imágenes para detectar estas amenazas. Por ejemplo, Microsoft informa de que bloquea aproximadamente 1,5 millones de ataques basados en códigos QR al día. Pero no todas las herramientas de seguridad del correo electrónico tienen el mismo nivel de detección de códigos QR.

2. El escaneo suele realizarse en un dispositivo diferente

Muchas personas escanean códigos QR con sus teléfonos, incluso cuando el correo electrónico llega a un ordenador del trabajo.

Cuando un empleado hace clic en un enlace en un portátil de la empresa, las herramientas de seguridad suelen poder inspeccionar y supervisar esa actividad. Pero cuando esa misma persona escanea un código QR con su teléfono personal, la visita puede producirse fuera de los controles de seguridad habituales de la organización. Esto ofrece a los atacantes otra vía para alcanzar su objetivo.

3. Los atacantes pueden cambiar el destino de un código QR

Algunas campañas de quishing utilizan códigos QR dinámicos. Un código QR dinámico apunta a un destino que puede actualizarse posteriormente. Esto permite a los atacantes cambiar la URL final después de que el código QR ya se haya enviado. En algunos casos, pueden utilizar un destino inofensivo al principio y cambiar a uno malicioso más tarde, lo que dificulta la detección.

El resultado es sencillo: un correo electrónico de phishing que contiene un enlace malicioso visible suele ser más fácil de analizar para las herramientas de seguridad. Un código QR oculta ese destino tras una imagen y añade pasos adicionales entre la víctima y el sitio web malicioso.

Ejemplos de quishing en el mundo real

Los ataques de quishing pueden aparecer en cualquier lugar donde se utilicen códigos QR. Algunos llegan a través del correo electrónico, mientras que otros aparecen en carteles, pósteres y terminales de pago en lugares públicos. Los ejemplos que se muestran a continuación ilustran cómo los atacantes utilizan los códigos QR para ocultar sitios web maliciosos tras un simple escaneo.

Estafa de los parquímetros de Austin (2022)

En 2022, unos estafadores colocaron pegatinas con códigos QR falsos en 29 parquímetros de Austin, Texas. Los conductores escaneaban los códigos para pagar el estacionamiento, pero los códigos QR les redirigían a un sitio web de pago fraudulento. Cualquiera que introdujera sus datos de pago corría el riesgo de facilitar esa información directamente a los estafadores.

El ataque funcionó porque las pegatinas falsas parecían legítimas. La mayoría de los conductores no tenían motivos para sospechar que los códigos QR originales habían sido sustituidos.

Estafas de verificación de cuentas de Microsoft 365

Muchos correos electrónicos de phishing se hacen pasar por Microsoft 365. El mensaje puede afirmar que tu contraseña está a punto de caducar, que tu cuenta necesita verificación o que debes actualizar tu configuración de autenticación multifactorial (MFA).

En lugar de incluir un enlace, el correo electrónico te pide que escanees un código QR. El código QR abre entonces una página de inicio de sesión falsa de Microsoft diseñada para robar nombres de usuario y contraseñas. Algunas campañas también intentan capturar información de la sesión que ayuda a los atacantes a obtener acceso a las cuentas.

Dado que la URL maliciosa está oculta dentro del código QR, el correo electrónico puede parecer más seguro que un mensaje de phishing tradicional a primera vista.

Estafas de facturas y pagos

Las empresas son otro objetivo habitual. En estos ataques, los estafadores envían correos electrónicos que parecen facturas, solicitudes de pago o extractos de cuenta de un proveedor de confianza.

El correo electrónico contiene un código QR falso que supuestamente conduce a los detalles de pago o a los documentos justificativos. Tras escanear el código QR, la víctima accede a un sitio web falso y se le pide que introduzca información de pago, datos bancarios o credenciales de cuenta. El objetivo es robar dinero, información confidencial o acceder a los sistemas de la empresa.

Un elemento común en todos estos ataques es la confianza. La gente espera que los parquímetros, las páginas de inicio de sesión de Microsoft y las facturas de los proveedores sean legítimos. Los atacantes se aprovechan de esa confianza ocultando sitios web maliciosos detrás de códigos QR. Los ataques de superposición física son especialmente eficaces porque una pegatina con un código QR falso puede camuflarse en un letrero, menú, quiosco o terminal de pago que, por lo demás, es legítimo.

El reto para los usuarios es saber si un código QR es seguro antes de escanearlo. Comprender esa diferencia empieza por saber si los códigos QR son seguros y qué medidas se pueden tomar para verificar un destino antes de abrirlo.

¿A quiénes suelen dirigirse los ataques de quishing?

Los atacantes no se dirigen a todo el mundo por igual. Se centran en sectores que manejan dinero, información confidencial o grandes cantidades de documentos. También se dirigen a empleados cuyos trabajos implican aprobar pagos, gestionar cuentas o revisar solicitudes.

Sectores afectados por los ataques de quishing

Sector	Señuelo habitual en los códigos QR
Energía	Facturas de proveedores, documentos de cumplimiento normativo, solicitudes de proveedores
Servicios financieros	Verificación de cuentas, aprobaciones de pagos, documentos seguros
Fabricación	Documentos de envío, facturas de proveedores, solicitudes de compra
Seguros	Documentos de pólizas, inicios de sesión en el portal del cliente, verificación de cuentas
Tecnología	Restablecimiento de la autenticación multifactorial (MFA), intercambio de documentos, descargas de software

Estos sectores tienen algo en común: muchos empleados trabajan habitualmente con facturas, formularios, aprobaciones y notificaciones de cuentas. Los atacantes se aprovechan de esos flujos de trabajo cotidianos creando códigos QR maliciosos que parecen comunicaciones empresariales rutinarias.

Puestos que suelen ser blanco de los ataques de quishing

Aunque ciertos sectores se enfrentan a mayores riesgos, los atacantes suelen centrarse en empleados específicos que tienen acceso a dinero, datos confidenciales o sistemas empresariales importantes.

Ejecutivos

Los ejecutivos se encuentran entre los grupos más atacados. Según Abnormal Security, los altos directivos reciben 42 veces más ataques de quishing que el resto de empleados. Los atacantes suelen utilizar solicitudes urgentes, documentos de aprobación o avisos de verificación de cuentas, ya que los ejecutivos tienen acceso a información confidencial y a los sistemas financieros.

Equipos financieros

El personal de finanzas es un objetivo habitual del fraude en facturas y las estafas de pago. Su trabajo les obliga a revisar facturas, aprobar pagos y trabajar con proveedores. Los atacantes lo saben y suelen disfrazar códigos QR maliciosos como solicitudes de pago o documentos financieros.

Equipos de TI

Los empleados de TI se ocupan habitualmente de restablecimientos de contraseñas, actualizaciones de MFA y alertas de seguridad. Los correos electrónicos de quishing suelen copiar estos mensajes y utilizan códigos QR para dirigir a las víctimas a páginas de inicio de sesión falsas.

Equipos de RR. HH.

El personal de RR. HH. trabaja con currículos, formularios de incorporación, documentos de prestaciones y expedientes de empleados. Los atacantes pueden disfrazar los correos electrónicos de quishing como documentos de contratación o solicitudes de empleados para obtener acceso a los sistemas de la empresa.

Trabajadores de primera línea y sobre el terreno

Los empleados de almacenes, fábricas, tiendas minoristas y otras ubicaciones físicas se enfrentan a un riesgo diferente. Los atacantes pueden colocar pegatinas con códigos QR falsos en equipos, quioscos, carteles o terminales de pago que los trabajadores utilizan a diario.

El denominador común de todos estos objetivos es la confianza. Los atacantes buscan situaciones en las que escanear un código QR resulte algo normal. Cuanto más familiar sea el flujo de trabajo, más probable es que alguien escanee primero y pregunte después.

Cómo proteger su organización contra el quishing

El quishing funciona porque los atacantes ocultan enlaces maliciosos dentro de los códigos QR y convencen a las personas para que los escaneen. Para reducir el riesgo, las organizaciones necesitan defensas que cubran tanto la seguridad del correo electrónico como la de los códigos QR. Las seis medidas de control que se indican a continuación pueden ayudar.

1. Utilice herramientas de seguridad del correo electrónico que puedan inspeccionar los códigos QR

Los filtros de correo electrónico tradicionales están diseñados para escanear enlaces y texto. Los ataques de quishing ocultan el destino dentro de la imagen de un código QR.

Las herramientas modernas de seguridad del correo electrónico pueden descodificar los códigos QR en los correos electrónicos y los archivos adjuntos, y luego comprobar si el destino es seguro. Sin esta capacidad, los códigos QR maliciosos pueden pasar desapercibidos a través de los controles de seguridad.

Los estándares de autenticación de correo electrónico como DMARC, SPF y DKIM siguen siendo importantes, pero solo verifican al remitente. No inspeccionan el código QR en sí.

2. Refuerce la protección de las cuentas con la autenticación multifactorial (MFA) resistente al phishing

Muchos ataques de quishing tienen como objetivo robar nombres de usuario y contraseñas. Una MFA sólida reduce el riesgo de que una contraseña robada comprometa la cuenta.

Siempre que sea posible, utilice métodos resistentes al phishing, como claves de seguridad o claves de acceso. Estos métodos dificultan mucho más el acceso a las cuentas por parte de los atacantes, incluso si un empleado introduce su contraseña en un sitio web falso.

3. Limite el acceso de las cuentas comprometidas

Ningún control de seguridad es perfecto. Las organizaciones deben asumir que algunos ataques acabarán teniendo éxito.

Limitar el acceso en función de las responsabilidades laborales ayuda a reducir el daño. Si los atacantes consiguen acceder a una cuenta, no deberían poder moverse libremente por los sistemas, los datos y las aplicaciones.

4. Formar a los empleados para que reconozcan las estafas con códigos QR

La mayoría de los programas de concienciación sobre seguridad se centran en los enlaces sospechosos. Los empleados también deben aprender cómo funciona el «quishing».

La formación debe abarcar señales de alerta comunes, como códigos QR inesperados en correos electrónicos, solicitudes urgentes de verificación de cuentas y pegatinas con códigos QR colocadas sobre carteles o terminales de pago existentes.

5. Incluir el quishing en los programas de seguridad y cumplimiento

Las agencias federales, entre ellas la Comisión Federal de Comercio (FTC), el Buró Federal de Investigaciones (FBI) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), han advertido sobre el phishing mediante códigos QR.

Las organizaciones deben revisar sus políticas de seguridad existentes y asegurarse de que el quishing se incluya en la formación de los empleados, las evaluaciones de riesgos y los procedimientos de respuesta a incidentes. Esto es especialmente importante para los sectores regulados que ya siguen marcos de ciberseguridad y cumplimiento normativo.

6. Crear un plan de respuesta para incidentes en dispositivos móviles

Muchos ataques de quishing dirigen a los usuarios desde un dispositivo de trabajo a un teléfono personal.

Las organizaciones deben contar con un proceso claro para investigar las denuncias de escaneos maliciosos de códigos QR, identificar cuentas expuestas, restablecer credenciales y supervisar actividades sospechosas.

El quishing se diferencia del phishing tradicional porque oculta enlaces maliciosos dentro de los códigos QR y, a menudo, desvía a los usuarios de un dispositivo de trabajo a un teléfono personal. Estas tácticas pueden hacer que los ataques sean más difíciles de detectar y reducir la eficacia de los controles de seguridad diseñados para inspeccionar enlaces de texto y el contenido de los correos electrónicos.

A medida que el uso de los códigos QR sigue creciendo, las organizaciones deben tratar el quishing como un riesgo de seguridad específico. Las empresas que combinan seguridad de correo electrónico con detección de códigos QR, autenticación multifactorial (MFA) sólida, formación de los empleados y procedimientos de respuesta claros están mejor preparadas para prevenir los ataques y limitar el daño si alguno tiene éxito.

Mantenga el control sobre los códigos QR que crea su empresa

No todos los códigos QR son una amenaza. Las empresas utilizan códigos QR a diario para pagos, documentos, experiencias de cliente y flujos de trabajo operativos. El reto consiste en garantizar que los usuarios puedan confiar en el destino de esos códigos QR.

The QR Code Generator (TQRCG) ayuda a las empresas a crear códigos QR rastreables, editables y conectados a destinos verificados. Esto proporciona a las organizaciones una mayor visibilidad sobre cómo se utilizan sus códigos QR y a dónde dirigen a los usuarios.

TQRCG también cumple con los requisitos de seguridad de la Ley de Responsabilidad y Protección de Datos ( enterprise ) a través de las certificaciones SOC 2 Tipo 2 e ISO 27001, así como con el cumplimiento del RGPD. En combinación con funciones como el seguimiento de escaneos y la gestión de URL de destino, estos controles ayudan a las empresas a mantener una mayor seguridad de los códigos QR, al tiempo que reducen el riesgo de uso indebido.

Preguntas frecuentes

1. ¿Qué es el «quishing» en términos sencillos?

El quishing es un tipo de ataque de phishing que utiliza un código QR en lugar de un enlace normal. Cuando alguien escanea el código QR, puede ser redirigido a un sitio web falso diseñado para robar contraseñas, datos de pago u otra información confidencial. El término combina las palabras «código QR» y «phishing».

2. ¿Cuál es la diferencia entre el phishing y el quishing?

El phishing tradicional utiliza enlaces en los que se puede hacer clic en correos electrónicos, mensajes de texto o sitios web. El quishing oculta el enlace malicioso dentro de un código QR. Ambos ataques tienen el mismo objetivo: engañar a las personas para que visiten un sitio web falso. La principal diferencia es que el quishing utiliza un código QR para ocultar el destino.

3. ¿Se puede contraer un virus al escanear un código QR?

Escanear un código QR por sí solo no instala un virus. Un código QR simplemente dirige tu dispositivo a un destino, como un sitio web. El riesgo proviene de lo que ocurre después del escaneo. Si el código QR conduce a un sitio web malicioso, ese sitio puede intentar robar tu información o convencerte de que descargues software dañino.

4. ¿Por qué es tan difícil detectar el quishing?

Muchas herramientas de seguridad están diseñadas para inspeccionar enlaces y texto. Un código QR es una imagen, lo que puede dificultar su análisis. Además, los ataques de quishing suelen redirigir a los usuarios desde un ordenador del trabajo a un teléfono personal. Esto puede dificultar que las organizaciones supervisen y bloqueen la actividad maliciosa.

5. ¿Cuáles son algunos ejemplos comunes de ataques de quishing?

Algunos ejemplos comunes son las pegatinas con códigos QR falsos colocadas sobre códigos QR reales en parquímetros, los correos electrónicos de phishing que se hacen pasar por alertas de cuentas de Microsoft 365 y las facturas fraudulentas que contienen códigos QR que conducen a páginas de pago falsas. En cada caso, el atacante utiliza un código QR para ocultar un sitio web malicioso tras una solicitud aparentemente normal.

6. ¿Cómo pueden protegerse las organizaciones contra el quishing?

Las organizaciones pueden reducir el riesgo utilizando herramientas de seguridad de correo electrónico que inspeccionen los códigos QR, aplicando una autenticación multifactorial (MFA) sólida, limitando el acceso a sistemas sensibles y formando a los empleados para que reconozcan las estafas con códigos QR. También es importante contar con un plan de respuesta a incidentes claro, para que los equipos sepan qué hacer si alguien escanea un código QR malicioso o introduce sus credenciales en un sitio web falso.

7. ¿Cómo se puede detectar un código QR falso?

Un código QR falso suele redirigir a los usuarios a un sitio web sospechoso que imita a una marca legítima. Antes de introducir cualquier información, comprueba que la URL del sitio web coincida con el dominio oficial de la marca. Ten cuidado si la página contiene errores ortográficos, solicita información confidencial o tiene un aspecto diferente al de la imagen de marca habitual de la empresa.