Kaspersky reporta un aumento sostenido de ataques que utilizan códigos QR fraudulentos: las detecciones pasaron de 46,969 en agosto a 249,723 en noviembre de 2025, un crecimiento de más de cinco veces en cuatro meses.
Los atacantes incrustan los códigos QR directamente en el cuerpo del correo o, con mayor frecuencia, dentro de archivos PDF adjuntos. Esta técnica oculta la URL maliciosa y empuja al usuario a escanear con un teléfono móvil, que a menudo opera fuera de los controles de seguridad corporativos.
Los QR maliciosos se emplean tanto en campañas masivas como en ataques dirigidos. Los destinos incluyen formularios de phishing que suplantan páginas de inicio de sesión, notificaciones internas falsas (por ejemplo, RRHH) y facturas o confirmaciones fraudulentas contenidas en PDFs.
Impacto técnico y operacional: el vector traslada la decisión de seguridad al empleado; el escaneo suele ocurrir en dispositivos con protección limitada, lo que facilita el robo de credenciales, la toma de cuentas, filtraciones de datos y fraude financiero. La urgencia y apariencia legítima de los mensajes reducen la probabilidad de detección por parte del usuario y por controles automatizados basados solo en análisis de texto o enlaces.
Retos para detección y respuesta: los análisis tradicionales de correo que inspeccionan URLs y texto no detectan imágenes con QR. Los PDFs pueden ofuscar o empaquetar el código, dificultando el análisis automatizado. Además, cuando la interacción se produce en móviles personales, los registros y telemetría para investigación forense suelen ser insuficientes.
Medidas recomendadas (resumen técnico):
– Implementar análisis de adjuntos con reconocimiento de imágenes/OCR para identificar y extraer códigos QR antes de entregar el mensaje.
– Someter PDFs y enlaces a sandboxing y evaluación dinámica de comportamiento.
– Aplicar políticas de URL rewriting e inspección de enlaces en correos, y bloquear destinos sospechosos tras el escaneo inicial.
– Fortalecer controles en dispositivos móviles mediante MDM/MAM y restringir el acceso a recursos corporativos desde dispositivos no gestionados.
– Capacitación focalizada en riesgos por QR y procedimientos verificados para confirmar la legitimidad de solicitudes que requieran escaneo.
– Monitorizar accesos posteriores a escaneos (inicios de sesión, creación de tokens, transferencias) para detección temprana de compromiso.
La combinación de mayor volumen y técnicas de evasión de bajo coste aumenta el riesgo operativo y financiero para organizaciones sin capacidades de análisis de imagen en correo ni controles de seguridad móviles adecuados.
