Los ataques de phishing que utilizan códigos QR como vector de engaño se incrementaron de forma alarmante durante el segundo semestre de 2025. De acuerdo con expertos de Kaspersky, las detecciones de correos electrónicos con códigos QR maliciosos pasaron de 46.969 en agosto a 249.723 en noviembre, lo que representa un crecimiento de más de cinco veces en apenas tres meses.
Este tipo de ataques se ha convertido en una amenaza creciente para las empresas, ya que los códigos QR permiten ocultar enlaces maliciosos y evadir los sistemas tradicionales de detección de phishing. Al escanearlos, los usuarios pueden ser redirigidos a sitios fraudulentos diseñados para robar credenciales corporativas, facilitar accesos no autorizados o desencadenar brechas de seguridad en entornos empresariales.
Los investigadores advierten que estos códigos suelen estar incrustados directamente en el cuerpo del correo electrónico o, con mayor frecuencia, dentro de archivos PDF adjuntos. Esta modalidad incentiva a los empleados a escanearlos desde sus teléfonos móviles, dispositivos que normalmente cuentan con menores niveles de protección que los equipos de escritorio o portátiles utilizados en el trabajo.
Los códigos QR maliciosos aparecen tanto en campañas masivas como en ataques dirigidos. Entre los escenarios más comunes se encuentran formularios falsos que suplantan páginas de inicio de sesión de servicios corporativos, notificaciones fraudulentas de recursos humanos que solicitan revisar documentos internos, y supuestas facturas o confirmaciones de compra que conducen a esquemas de fraude financiero.
Estas tácticas se apoyan en la confianza que generan las comunicaciones empresariales rutinarias y en la apariencia legítima de los mensajes. Al trasladar la acción de verificación al usuario y sacarla del entorno protegido del correo corporativo, los atacantes reducen la capacidad de detección del fraude y aumentan las probabilidades de compromiso de credenciales.
“El principal riesgo no está solo en el volumen de correos, sino en la interacción del usuario. Los códigos QR maliciosos se han convertido en una de las herramientas de phishing más eficaces y todo indica que esta tendencia continuará en 2026”, explica Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
Frente a este panorama, los expertos recomiendan fortalecer la capacitación de los empleados en la identificación de correos sospechosos, reforzar la protección de credenciales mediante autenticación multifactor y controles de acceso, y contar con soluciones especializadas de seguridad para el correo electrónico corporativo que permitan detectar y bloquear ataques que utilizan códigos QR.
La advertencia es clara: el phishing con códigos QR dejó de ser una técnica marginal para convertirse en un riesgo real y cotidiano. En un entorno digital cada vez más móvil, la combinación de tecnología, controles y conciencia del usuario será determinante para evitar pérdidas financieras, filtraciones de datos y daños reputacionales.
