Redazione RHC : 15 noviembre 2025 15:40
El quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación de «código QR» y «phishing», lo que subraya la naturaleza engañosa de esta práctica.
Los atacantes se aprovechan de la confianza que los usuarios depositan en los códigos QR, que suelen utilizarse para acceder rápidamente a enlaces, descargar documentos o realizar pagos. Sin embargo, tras un código QR aparentemente inofensivo puede esconderse una estafa diseñada para robar datos confidenciales . Estos datos podrían incluir credenciales de inicio de sesión, información financiera o incluso la instalación de malware en el dispositivo del usuario.
Esta amenaza es particularmente insidiosa porque los códigos QR, al estar compuestos por una matriz de puntos, no pueden ser descifrados visualmente por el usuario. Esto hace prácticamente imposible detectar código malicioso sin el uso de herramientas especiales. Además, la adopción generalizada de códigos QR en ámbitos como restaurantes, marketing y pagos digitales ha creado un terreno fértil para los ciberdelincuentes.
En este artículo, profundizaremos en qué es el Quishing, examinando su definición y características clave. Analizaremos su funcionamiento, estudiando los mecanismos que subyacen a esta estafa, y presentaremos ejemplos prácticos de ataques para comprender mejor el fenómeno. También proporcionaremos herramientas y consejos útiles para la protección y analizaremos el futuro de esta amenaza, explorando los riesgos emergentes y su posible evolución.
El quishing , como se mencionó en la introducción, es una forma relativamente nueva de ciberataque. Este ataque aprovecha la popularidad y el creciente uso de los códigos QR para engañar a las víctimas. Un código QR (Código de Respuesta Rápida) es un código de barras bidimensional. Se puede escanear fácilmente con un teléfono inteligente u otro dispositivo con cámara.
Estos códigos suelen contener información que enlaza con un sitio web, una aplicación o una acción específica, como el pago de un producto o servicio . Los atacantes crean códigos QR falsos que, al escanearse, redirigen a la víctima a sitios web maliciosos. Estos sitios pueden tener diversos fines, entre ellos, recopilar datos confidenciales como credenciales de inicio de sesión y números de tarjetas de crédito.
También pueden distribuir malware a dispositivos o comprometer sistemas mediante técnicas de phishing más avanzadas. Por ejemplo, un código QR fraudulento podría aparecer en un folleto publicitario, en una valla publicitaria en una estación de tren o incluso en un correo electrónico. Una vez escaneado, el usuario podría ser redirigido a un sitio web que solicita información personal o le incita a descargar una aplicación maliciosa.
Por lo tanto, el quishing se basa en engañar a los usuarios mediante el uso de códigos QR fraudulentos, aprovechándose de la confianza que muchos depositan en esta tecnología. A medida que el uso de códigos QR se generaliza, es probable que aumente el riesgo de ser víctima de un ataque de quishing.
El quishing aprovecha el engaño inherente a los códigos QR para inducir a las víctimas a realizar acciones maliciosas, aunque con un enfoque más sutil. Analizar cómo funciona el quishing nos ayuda a comprender sus mecanismos y cómo protegernos.
El proceso de un ataque de suplantación de identidad se puede dividir en varias fases. Cada una de ellas se basa en sofisticadas estrategias de engaño que pretenden explotar la confianza y la curiosidad del usuario.
El primer paso en un ataque de suplantación de identidad es crear un código QR que parezca legítimo. Los estafadores generan códigos QR que enlazan a sitios web o aplicaciones maliciosas, pero que son visualmente indistinguibles de los auténticos. Crear estos códigos es muy sencillo y no requiere conocimientos avanzados. Numerosas herramientas en línea permiten generar códigos QR personalizados, a los que incluso los propios ciberdelincuentes tienen fácil acceso.
Una vez creado, el código QR fraudulento se distribuye a través de diversos canales. Esto puede ocurrir de diferentes maneras:
Cuando un usuario escanea un código QR con su teléfono inteligente, se le redirige automáticamente a una página web. Esta página suele parecer legítima, pero en realidad está diseñada para engañar a la víctima. En muchos casos, el sitio web puede parecer una página de inicio de sesión de un banco, una plataforma de pago o una red social.
Una vez que el usuario accede a la página falsa, se le solicita que introduzca información confidencial. Normalmente, se le pide un nombre de usuario, contraseña, números de tarjeta de crédito o datos bancarios. En algunos casos, el sitio puede parecer tan convincente que el usuario no se percata de la diferencia entre el sitio legítimo y el fraudulento.
Además de robar datos confidenciales, otro objetivo común del cibercrimen es instalar malware . Los estafadores pueden engañar a las víctimas para que descarguen software malicioso que compromete el dispositivo, robando información personal o permitiendo el acceso remoto. Este tipo de malware puede incluir virus, troyanos o spyware. Dicho malware permite a los hackers monitorizar la actividad o incluso tomar el control total del dispositivo comprometido.
El quishing funciona creando un engaño visual y explotando el comportamiento automático de las personas, lo que significa que confían en los códigos QR sin cuestionarlos. Una vez que la víctima escanea el código QR, la estafa termina. Los estafadores toman el control y pueden robar datos confidenciales o dañar el dispositivo. Reconocer estos mecanismos es el primer paso para protegerse.
Para comprender mejor el alcance de esta amenaza, resulta útil examinar algunos ejemplos de ataques reales .
Uno de los ejemplos más comunes de quishing se produce a través de códigos QR colocados en vallas publicitarias o folletos. Un ejemplo típico es la publicidad de descuentos o promociones especiales en lugares concurridos. Los estafadores crean códigos QR que enlazan con sitios web de comercio electrónico o plataformas de pago legítimas. Sin embargo, al escanear el código, las víctimas son redirigidas a páginas web falsas que solicitan datos bancarios , contraseñas o números de tarjeta de crédito .
El impacto de este tipo de ataque es significativo: además del robo financiero, algunos usuarios han sufrido robo de identidad y fraude financiero . Asimismo, algunos dispositivos se han infectado con malware , lo que compromete aún más la seguridad personal.
Otro ejemplo son los restaurantes y bares que han empezado a usar códigos QR para mostrar menús sin contacto. Este sistema, que inicialmente parecía una forma práctica de reducir el contacto físico durante la pandemia de COVID-19, ha sido explotado por ciberdelincuentes.
En un caso documentado, se colocaron códigos QR falsos en las mesas de un restaurante, que aparentemente dirigían a los clientes a menús en línea. Sin embargo, el cliente era redirigido a una página donde debía ingresar información personal y de pago para «completar el pedido». En otros casos, se instó al usuario a descargar una aplicación fraudulenta. Una vez instalada, la aplicación permitía a los delincuentes monitorear la actividad del dispositivo.
Otro ejemplo significativo de quishing se ha documentado en campañas de phishing por correo electrónico. Los atacantes, haciéndose pasar por empresas o bancos conocidos, enviaron correos electrónicos con códigos QR. Estos correos contenían mensajes urgentes como «Su cuenta ha sido comprometida, haga clic para confirmar su identidad». Una vez escaneado el código QR, las víctimas eran redirigidas a un sitio web que imitaba a la perfección el portal del banco o la página web de la empresa. Este sitio solicitaba credenciales de inicio de sesión, códigos de seguridad o incluso números de tarjeta de crédito. El engaño fue tan efectivo que muchas víctimas no se percataron de la estafa e ingresaron su información confidencial.
Otro caso alarmante se produjo en sistemas de pago en línea y aplicaciones móviles que utilizan códigos QR para transacciones rápidas. Los estafadores crearon códigos QR falsos que, al escanearse, redirigían a las víctimas a páginas de inicio de sesión fraudulentas. Allí, se les solicitaba que ingresaran información confidencial para completar la transacción. Estos ataques se aprovechan de la rapidez y la comodidad de los pagos digitales, generando una falsa sensación de seguridad en las víctimas.
Por ejemplo, un usuario que deseaba realizar un pago con su monedero digital escaneó un código QR que parecía legítimo. Sin embargo, fue redirigido a una página que imitaba una plataforma de pago. En esta página, se le solicitó que ingresara su información bancaria o PIN. Las víctimas de este tipo de ataque vieron desaparecer importantes sumas de dinero de sus cuentas bancarias. En algunos casos, los atacantes incluso bloquearon el acceso a las cuentas de las víctimas, lo que dificultó aún más la recuperación de los fondos.
Más allá de las pérdidas financieras inmediatas, el cibercrimen puede tener consecuencias a largo plazo para las víctimas. Por ejemplo, el robo de identidad puede implicar un proceso prolongado para recuperar las credenciales robadas y proteger las cuentas bancarias o tarjetas de crédito. Además, los usuarios pueden volverse más vulnerables a nuevos ataques. Los ciberdelincuentes suelen vender los datos robados en mercados clandestinos, lo que aumenta el riesgo de que otros delincuentes puedan aprovechar la información comprometida.
El quishing es una amenaza creciente, pero afortunadamente, existen varias medidas que podemos tomar para protegernos y proteger nuestra información personal. Aquí encontrará algunas herramientas y consejos útiles para defenderse de esta forma insidiosa de estafa.
Una de las primeras medidas de defensa contra el quishing es escanear cuidadosamente los códigos QR que encontramos. Antes de escanear un código, siempre es importante realizar una comprobación visual . Si el código QR se encuentra en un lugar público o sospechoso, o si su apariencia parece inusual (por ejemplo, distorsionado o mal impreso), es mejor evitar escanearlo . Además, al escanear un código QR, es fundamental comprobar la URL que aparece en la pantalla del dispositivo. Si el enlace parece sospechoso o no coincide con lo esperado, no interactúe con el sitio . Asimismo, algunos delincuentes pegan códigos QR maliciosos sobre códigos QR legítimos. Si ve códigos QR pegados, evite interactuar con ellos.
Existen aplicaciones de seguridad que pueden protegerte de códigos QR maliciosos. Algunas de estas aplicaciones analizan la URL del código QR antes de que accedas al sitio web. Por ejemplo, pueden avisarte si la URL es sospechosa o si el sitio que intentas visitar ha sido reportado por actividad fraudulenta. Muchos programas modernos de antivirus y protección de la privacidad también incluyen funciones para detectar y bloquear códigos QR maliciosos .
Otro paso clave para protegerse del quishing es evitar introducir información confidencial, como datos bancarios o números de tarjeta de crédito. Esto se aplica en general, no solo a los ataques de quishing . Es importante no proporcionar credenciales de inicio de sesión a través de enlaces en códigos QR sospechosos. Si un código QR redirige a una página que solicita información confidencial, es importante detenerse y verificar antes de continuar. Los bancos, por ejemplo, nunca solicitan información personal a través de códigos QR. Si recibe una solicitud de este tipo, es una clara señal de que podría tratarse de una estafa.
Cuando recibas un código QR por correo electrónico , mensaje de texto o redes sociales , es fundamental verificar su origen antes de continuar. Si el correo o mensaje proviene de un remitente desconocido, lo mejor es no escanear el código QR. Las empresas legítimas rara vez envían códigos QR por correo electrónico o mensaje de texto sin un motivo claro. En caso de duda, contacta directamente con la empresa o el servicio a través de sus canales oficiales para confirmar la legitimidad del código QR.
Habilitar la autenticación de dos factores (2FA) para tus cuentas en línea es otra forma eficaz de protegerte contra el robo de identidad. Incluso si un hacker logra obtener tus credenciales mediante un código QR fraudulento, la autenticación de dos factores añade una capa adicional de seguridad. Esto requiere un segundo código, generalmente enviado por SMS o generado por una aplicación. De esta forma, resulta mucho más difícil para un atacante acceder a tus cuentas, incluso si logra obtener tu nombre de usuario y contraseña.
La formación continua y la concienciación sobre los riesgos cibernéticos son algunas de las herramientas más eficaces para combatir el quishing. Es fundamental educar a los usuarios sobre los peligros del uso de códigos QR y cómo identificar las señales de ataques de phishing y quishing . Los programas de concienciación corporativa y los tutoriales sobre cómo defenderse de las amenazas en línea pueden marcar una gran diferencia en la prevención de este tipo de estafas. La concienciación individual y colectiva desempeña un papel crucial en la reducción de la eficacia de los ataques de quishing.
Otra medida preventiva clave es revisar periódicamente sus transacciones y estados de cuenta bancarios . Si alguien es víctima de un ataque de suplantación de identidad y, sin darse cuenta, proporciona su información bancaria, una revisión rápida puede ayudar a detectar actividades sospechosas antes de que sea demasiado tarde. Si observa alguna transacción desconocida, es importante informar inmediatamente del fraude a su banco para intentar bloquear cualquier pago no autorizado.
Siempre que sea posible, utilice únicamente códigos QR verificados y seguros . Algunos servicios y aplicaciones ofrecen códigos QR protegidos con medidas de seguridad avanzadas. Por ejemplo, algunas plataformas de pago en línea utilizan códigos QR dinámicos . Estos códigos QR están cifrados, lo que reduce la posibilidad de que se vean comprometidos o se utilicen para cometer fraude. Además, algunas aplicaciones de pago o monederos digitales permiten verificar la seguridad del código QR antes de realizar una transacción.
Por último, es fundamental no hacer clic en códigos QR adjuntos a mensajes sospechosos o procedentes de fuentes no verificadas. Los estafadores suelen utilizar estos métodos para intentar obtener información personal o financiera. Siempre es mejor evitar hacer clic en enlaces o escanear códigos enviados a través de canales no oficiales, especialmente si el mensaje contiene solicitudes urgentes o alarmantes.
Al implementar estas medidas de seguridad, puede reducir significativamente el riesgo de ser víctima de quishing. Protegerse contra este tipo de estafa requiere vigilancia, conocimiento y la adopción de tecnologías de seguridad adecuadas.
El futuro del fraude con códigos QR se presenta cada vez más complejo y sofisticado. A medida que la tecnología evoluciona, los estafadores perfeccionan técnicas para dificultar la detección de códigos QR fraudulentos. Esta evolución podría conllevar un aumento de los ataques que eluden los sistemas de detección tradicionales, exponiendo a los usuarios a mayores riesgos.
Además, se prevé que el quishing se integre con otras formas de ciberataque. Los estafadores podrían combinar el quishing con técnicas de phishing, smishing e ingeniería social, lo que haría el ataque aún más insidioso. Un usuario podría recibir un correo electrónico con un código QR fraudulento, seguido de mensajes en redes sociales que lo inciten a realizar acciones riesgosas. Este enfoque multicanal podría confundir a las víctimas y dificultar la detección del ataque antes de que sea demasiado tarde.
Los sectores más vulnerables al quishing, como el financiero y el sanitario, seguirán siendo objetivos principales. Los estafadores podrían usar el quishing para robar datos confidenciales, como información bancaria o médica. En el contexto de las criptomonedas, en particular, los códigos QR fraudulentos podrían redirigir a las víctimas a monederos digitales falsos, aprovechando el anonimato de las transacciones para llevar a cabo estafas a gran escala. La creciente automatización de los ataques permitirá a los delincuentes atacar rápidamente a un número cada vez mayor de usuarios.
¡Intentamos no estar desprevenidos!
RedazioneEl quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
Las operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
En el mundo de la ciberseguridad, los cortafuegos constituyen la primera línea de defensa contra las ciberamenazas y los ciberataques. Diariamente, empresas y usuarios domésticos se exponen a riesgo...
Fortinet ha confirmado el descubrimiento de una vulnerabilidad crítica de ruta relativa (CWE-23) en dispositivos FortiWeb, identificada como CVE-2025-64446 y registrada como número IR FG-IR-25-910 ....
Los XV Juegos Nacionales de China se inauguraron con un espectáculo que combinó deporte y tecnología. Entre los aspectos más destacados se encontraban robots capaces de tocar antiguos instrumentos...
