Kaspersky ha detectado un preocupante incremento en el uso de códigos QR maliciosos en ataques de phishing, lo que podría comprometer la seguridad de muchas organizaciones.

Las estadísticas son alarmantes: los correos electrónicos phishing que utilizan esta técnica pasaron de 46,969 en agosto a 249,723 en noviembre de 2025, un aumento de más del 500% en solo unos meses. Esto demuestra cómo los ciberdelincuentes están adaptando sus estrategias.

Impacto de los Códigos QR en la Seguridad Empresarial

Los códigos QR se han convertido en un vector de ataque atractivo para los fraudadores, ya que permiten ocultar enlaces maliciosos que pueden llevar al robo de credenciales y accesos no autorizados. Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky, señala: «Estos códigos han evolucionado para ser herramientas de phishing altamente efectivas durante 2025 y seguirán en auge en 2026».

Cómo Operan los Atacantes

Los ciberdelincuentes a menudo incrustan estos códigos directamente en el cuerpo del correo o en archivos PDF, lo que no solo oculta los enlaces peligrosos, sino que también incentiva a los usuarios a escanearlos desde sus dispositivos móviles, frecuentemente menos seguros que las computadoras de trabajo.

Kaspersky reporta el notable ascenso de correos electrónicos de phishing que incluyen enlaces maliciosos a través de códigos QR.

Tipos de Amenazas Asociadas a Códigos QR

Los códigos QR maliciosos son comunes tanto en campañas masivas como en ataques dirigidos. Algunos enfoques utilizados incluyen:

– Formularios falsos que imitan páginas de inicio de sesión de servicios populares, diseñadas para robar datos críticos.

– Notificaciones fraudulentas de recursos humanos que engañan a los empleados para que ingresen información sensible.

– Facturas falsas en documentos adjuntos que incitan a las víctimas a hacer llamadas a números comprometidos, facilitando nuevos ataques de ingeniería social.

Consecuencias de No Prevenir el Riesgo

La combinación de confianza en comunicaciones rutinarias y la falta de prácticas adecuadas de seguridad puede resultar en el robo de credenciales y fraudes financieros. La clave radica en la interacción del usuario con estos códigos QR, donde la decisión de seguridad radica en el empleado, aumentando el riesgo de acceso no autorizado a la empresa.

Estrategias de Protección Recomendadas

Para mitigar estos riesgos, los expertos de Kaspersky sugieren:

1. Capacitar de manera continua a los empleados sobre cómo identificar correos sospechosos y los peligros de escanear códigos QR desconocidos.

2. Implementar autenticación multifactor y controles de acceso para proteger las credenciales corporativas y minimizar el impacto de posibles robos.

3. Utilizar soluciones de seguridad especializadas, como Kaspersky Security for Mail Server, que garantizan un entorno de correo seguro y previenen amenazas como phishing y códigos QR fraudulentos.