Llevas años usando códigos QR para ver la carta en los restaurantes, descargar aplicaciones o consultar información. Desde el Covid se han popularizado como setas después de la lluvia. Son cómodos, rápidos y aparentemente inofensivos. Por eso los ciberdelincuentes han empezado a usarlos como arma. El resultado tiene nombre propio: quishing.
¿Qué es el quishing?
El término quishing es una combinación de «QR code» y «phishing». Se trata de una técnica de ataque en la que el ciberdelincuente sustituye el enlace falso habitual de un correo de phishing por un código QR. El objetivo es el mismo: llevarte a una página falsa que roba tus credenciales o instala malware en tu dispositivo. La diferencia es que el QR lo hace mucho más difícil de detectar.
Un enlace en un correo se puede inspeccionar antes de hacer clic: pasas el ratón por encima y ves la URL de destino. Un código QR no. Es una imagen opaca que no revela nada hasta que la escaneas, y para ese momento ya estás en el dispositivo del atacante, normalmente tu móvil, que está fuera del perímetro de seguridad de tu empresa.
Cómo funciona un ataque de quishing
El esquema más habitual llega por correo electrónico. Recibes un mensaje que imita a Microsoft, a tu banco o al departamento de RRHH de tu empresa. El correo incluye un código QR con instrucciones para «verificar tu cuenta» o «acceder a un documento urgente». Cuando lo escaneas con el móvil, llegas a una página de inicio de sesión falsa, introduces tus credenciales y el atacante las ha capturado en tiempo real.
Lo que distingue al quishing del phishing clásico es estructural. Los filtros de seguridad del correo han sido entrenados para detectar URLs maliciosas en texto plano. Un código QR es una imagen, y la mayoría de sistemas de seguridad lo han tratado históricamente como contenido visual inofensivo. Ese vacío es exactamente lo que los atacantes han aprendido a explotar.
El problema no se limita al correo. Se han documentado casos en los que se han pegado códigos QR falso sobre los originales en menús de restaurante, parquímetros, avisos de entrega de paquetes y carteles en espacios públicos. La pandemia normalizó el QR para casi cualquier interacción cotidiana, y esa confianza acumulada se ha convertido ahora en el punto débil que se está aprovechando.
La técnica ha seguido evolucionando. Últimamente se ha popularizado incrustar los códigos QR dentro de archivos PDF adjuntos para eludir los filtros de seguridad, que suelen analizar mejor el cuerpo del mensaje que los adjuntos.
Cómo protegerte
La buena noticia es que protegerse del quishing no requiere conocimientos técnicos. Antes de escanear cualquier código QR, especialmente si llega en un correo no esperado, pregúntate si tiene sentido recibirlo. Si lo escaneas, fíjate en la URL que aparece en tu móvil antes de abrirla: si no reconoces el dominio o parece sospechoso, no continúes.
Algunos gestores de contraseñas con función de autocompletado también te protegen de forma indirecta: solo rellenan las credenciales en el dominio legítimo para el que fueron guardadas. Si llegas a una página falsa, el gestor no rellenará nada, lo que puede ser una señal de alarma.
Para empresas, la recomendación es extender las políticas de ciberseguridad al uso de dispositivos móviles, que son el vector de entrada preferido del quishing y a menudo están fuera del radar.
¿Cómo me impacta?
Si alguna vez has escaneado un código QR en un correo, en un cartel o en un documento de trabajo, la respuesta es sí. El quishing no distingue entre perfiles técnicos y no técnicos: apela a la confianza que todos hemos depositado en una tecnología que asociamos con la comodidad, no con el riesgo.
La clave está en aplicar al QR el mismo escepticismo que ya aplicas en otros momentos de tu vida. No es necesario ir escaneando todo con el móvil.