BHACKING - Ciberseguridad
Volver al Blog

Quishing: El Ataque de Phishing con Códigos QR que Creció 146% y Ya Amenaza a las PyMEs Mexicanas

12 de mayo de 2026IA BHACKING
Quishing: El Ataque de Phishing con Códigos QR que Creció 146% y Ya Amenaza a las PyMEs Mexicanas
Contenido generado por IA · Verificado por expertos
12 de mayo de 2026

Los códigos QR se han convertido en parte de la vida cotidiana: los usamos para ver menús, hacer pagos, acceder a promociones y verificar información. Pero esta confianza generalizada es exactamente lo que los ciberdelincuentes están explotando. El "quishing" —phishing a través de códigos QR— se ha disparado un 146% en el primer trimestre de 2026, con 18.7 millones de ataques registrados solo en marzo, según datos de Microsoft Threat Intelligence. Para las PyMEs mexicanas, esta amenaza representa un riesgo crítico que muchas aún no conocen.

¿Qué es el Quishing y por qué es tan peligroso?

El quishing combina dos palabras: QR y phishing. El ataque funciona así: el ciberdelincuente crea un código QR malicioso que, al ser escaneado, redirige a la víctima a un sitio web falso diseñado para robar credenciales, instalar malware o capturar datos bancarios.

Lo que hace al quishing especialmente peligroso es que burla los filtros de seguridad tradicionales:

  • Los códigos QR son imágenes, no texto, por lo que la mayoría de los sistemas de seguridad de correo electrónico no pueden leer el enlace oculto dentro de ellos
  • En 2025, casi el 80% de los PDFs maliciosos con códigos QR tenían cero detecciones en VirusTotal
  • El ataque traslada al usuario de su computadora corporativa protegida a su celular personal, que generalmente no tiene las mismas protecciones de seguridad empresarial

¿Cómo llegan estos ataques a tu empresa?

Los ciberdelincuentes utilizan múltiples vectores para distribuir códigos QR maliciosos:

  1. 1Correos electrónicos corporativos: Mensajes que simulan ser de Recursos Humanos, IT, o proveedores con asuntos como "Tu contraseña expira hoy" o "Actualiza tu información de nómina"
  2. 2Documentos PDF adjuntos: Facturas, contratos o propuestas falsas que contienen el código QR malicioso
  3. 3Stickers físicos: Pegatinas colocadas sobre códigos QR legítimos en oficinas, restaurantes o espacios públicos
  4. 4Mensajes de WhatsApp y SMS: Notificaciones falsas de paquetes, bancos o servicios gubernamentales

Sectores más afectados en México

Según los datos más recientes, los sectores con mayor vulnerabilidad son:

  • Sector financiero: Representa el 60% de los ataques de phishing en general
  • Manufactura: 40% de los ataques dirigidos a empresas
  • Servicios SaaS y tecnología: 46% de los ataques corporativos

Las PyMEs mexicanas son objetivos prioritarios porque, a diferencia de las grandes corporaciones, generalmente no cuentan con soluciones de seguridad de correo electrónico capaces de analizar imágenes en busca de QR maliciosos.

El contexto del Mundial 2026 amplifica el riesgo

Con México como sede del Mundial de Fútbol 2026, los expertos advierten que los ataques de quishing se intensificarán. Los ciberdelincuentes ya están distribuyendo códigos QR falsos que prometen:

  • Boletos "exclusivos" a precios especiales
  • Paquetes de viaje y hospedaje fraudulentos
  • Acceso a transmisiones "gratuitas" de los partidos

Esto representa un riesgo adicional para empresas del sector hotelero, restaurantero y de servicios turísticos.

Recomendaciones

  • Capacita a tu equipo ahora mismo: Realiza simulaciones de quishing trimestrales y enseña a los empleados a verificar siempre la URL que aparece al apuntar la cámara al QR antes de abrirla
  • Implementa MFA resistente a phishing: Usa autenticación multifactor basada en llaves de seguridad físicas (FIDO2/passkeys) que no puedan ser comprometidas aunque roben las credenciales
  • Despliega seguridad de correo avanzada: Soluciones como Wazuh integrado con análisis de imágenes pueden detectar QR maliciosos en correos antes de que lleguen a la bandeja de entrada
  • Establece políticas para dispositivos móviles: Implementa acceso condicional que bloquee dispositivos personales no administrados para autenticarse en aplicaciones corporativas
  • Crea un protocolo de reporte: Define un canal claro (correo o chat) para que los empleados reporten en menos de 10 minutos cualquier QR sospechoso que hayan escaneado
  • Audita tus códigos QR físicos: Si tu empresa usa códigos QR en materiales impresos, verifica regularmente que no hayan sido reemplazados por stickers maliciosos

¿Necesitas ayuda con la seguridad de tu empresa?

Nuestro equipo puede ayudarte a implementar las mejores prácticas.

Solicitar Asesoría