Alerta por phishing con códigos QR: los ataques se multiplicaron por cinco

Kaspersky advierte que esta técnica expone a las empresas al robo de credenciales, fraudes y brechas de seguridad, especialmente a través de teléfonos corporativos, que suelen contar con menores niveles de protección que los equipos de escritorio o portátiles.

Los expertos de Kaspersky identificaron un aumento significativo de correos electrónicos de phishing. Que incorporan códigos QR maliciosos. Las detecciones se incrementaron de 46,969 en agosto a 249,723 en noviembre de 2025. Un crecimiento de más de cinco veces.

Evidenciando cómo los ciberdelincuentes están explotando cada vez más los códigos QR como vector de ataque. Esta tendencia representa una señal de alerta para las empresas. Ya que los códigos QR permiten ocultar enlaces maliciosos. Incrementando el riesgo de robo de credenciales, accesos no autorizados y posibles brechas de datos en entornos corporativos.

Estos códigos QR suelen estar incrustados directamente en el cuerpo del correo electrónico. O aún más comúnmente, dentro de archivos adjuntos en PDF, una evolución que tanto oculta los enlaces de phishing como anima a los usuarios a escanearlos con teléfonos móviles, que pueden tener una seguridad más débil que los PC de trabajo.

Los códigos QR maliciosos aparecen con frecuencia tanto en campañas masivas de phishing como en ataques dirigidos. Los enlaces incrustados en ellos pueden llevar a:

• Formularios de phishing que suplantan páginas de inicio de sesión de servicios como cuentas de Microsoft o portales corporativos internos, diseñados para robar nombres de usuario, contraseñas y otras credenciales.

• Falsas notificaciones de RR. HH. que instan a los empleados a revisar o firmar documentos, como calendarios de vacaciones, o incluso a consultar listas de personal despedido, dirigiéndolos finalmente a sitios de robo de credenciales.

• Facturas o confirmaciones de compra fraudulentas en archivos PDF adjuntos, a menudo combinadas con tácticas de vishing (phishing por voz) que incitan a las víctimas a llamar a números de teléfono proporcionados para “cancelar” o aclarar la transacción, lo que permite nuevos ataques de ingeniería social.

Estas tácticas explotan la confianza en las comunicaciones empresariales rutinarias. Y
pueden derivar en robo de credenciales, toma de control de cuentas, filtraciones de datos
y fraude financiero.

Más allá del volumen de correos detectados, el principal riesgo para las empresas radica
en la interacción del usuario. A diferencia de los enlaces tradicionales, los códigos QR
trasladan la decisión de seguridad al empleado. Quien suele escanearlos de forma
automática y fuera del entorno protegido del correo corporativo.

Este factor humano, combinado con la urgencia y legitimidad aparente de los mensajes, reduce la capacidad de detección del fraude. Y aumenta la probabilidad de que las credenciales corporativas sean comprometidas. Abriendo la puerta a accesos no autorizados y ataques posteriores dentro de la organización.

“Los códigos QR maliciosos se han convertido en una de las herramientas de phishing más eficaces durante 2025, y así se espera que continúen en 2026, especialmente
cuando se ocultan en archivos PDF adjuntos o se presentan como comunicaciones empresariales legítimas”. Asegura Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.

“Los atacantes están explotando esta técnica de evasión de bajo coste para engañar a los empleados. Sin capacidades avanzadas de análisis de imágenes en el correo electrónico y sin prácticas seguras de escaneo por parte de los usuarios. Las organizaciones se exponen a ataques con consecuencias posteriores. Que pueden traducirse en pérdidas financieras y daños reputacionales significativos”. Agrega.

Para defenderse frente a esta amenaza creciente, los expertos de Kaspersky recomiendan:

• Capacitar de forma continua a los empleados. Especialmente en la identificación de correos sospechosos y en los riesgos de escanear códigos QR recibidos por email. El factor humano sigue siendo un elemento crítico en este tipo de ataques.
• Reforzar la protección de credenciales corporativas. Mediante autenticación multifactor y controles de acceso, para minimizar el impacto de posibles robos de credenciales derivados de campañas de phishing.
• Proteger el correo electrónico corporativo con soluciones especializadas. Como Kaspersky Security for Mail Server, que garantizan un intercambio de correo fiable y seguro y permiten bloquear spam, phishing, BEC, infecciones transmitidas por correo electrónico y ataques mediante códigos QR.