Tecnología.– Los ataques de phishing mediante códigos QR experimentaron un crecimiento explosivo en los últimos meses de 2025, multiplicándose por más de cinco, según un informe reciente de la firma de ciberseguridad Kaspersky. La tendencia enciende las alarmas en el sector corporativo, donde los teléfonos móviles empresariales —con menores niveles de protección que las computadoras— se han convertido en el principal punto de entrada para los ciberdelincuentes.
Los datos recopilados por los analistas de Kaspersky revelan que los correos electrónicos maliciosos con códigos QR pasaron de 46,969 detecciones en agosto a 249,723 en noviembre de 2025, un salto sin precedentes que evidencia la rápida adopción de esta técnica por parte de los atacantes. Este aumento refleja una estrategia deliberada para evadir filtros de seguridad tradicionales y engañar a los usuarios mediante métodos visuales más difíciles de detectar.
Nuevas tácticas de engaño digital
De acuerdo con la investigación, los códigos QR maliciosos suelen estar incrustados directamente en el cuerpo de los correos electrónicos o, con mayor frecuencia, ocultos dentro de archivos adjuntos en formato PDF. Esta modalidad no solo camufla los enlaces fraudulentos, sino que incentiva a los empleados a escanearlos desde sus teléfonos móviles, dispositivos que generalmente carecen de los mismos controles de seguridad que las redes corporativas.
Los enlaces contenidos en estos códigos QR dirigen a las víctimas hacia diversos tipos de trampas digitales, entre ellas:
Formularios falsos que imitan páginas de inicio de sesión de Microsoft u otros sistemas empresariales con el objetivo de capturar credenciales.
Supuestas comunicaciones de Recursos Humanos que instan a revisar documentos internos o listas de despidos.
Facturas o comprobantes de compra fraudulentos, a menudo acompañados de tácticas de “vishing” (phishing por voz) para manipular a las víctimas a realizar llamadas y proporcionar información sensible.
Estas estrategias se aprovechan de la confianza en las comunicaciones laborales cotidianas y pueden derivar en robo de identidad corporativa, toma de control de cuentas, filtración de datos y pérdidas financieras significativas.
El factor humano como eslabón más débil
Más allá del volumen de ataques detectados, Kaspersky advierte que el mayor riesgo reside en la interacción del usuario. A diferencia de los enlaces tradicionales, los códigos QR trasladan la responsabilidad de la seguridad al empleado, quien suele escanearlos sin verificar su procedencia y fuera del entorno protegido del correo corporativo.
Esta combinación de urgencia aparente, legitimidad visual y vulnerabilidad tecnológica incrementa las probabilidades de éxito de los ataques, facilitando accesos no autorizados y posteriores incursiones dentro de las redes empresariales.
Advertencia de expertos
Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky, subrayó que esta modalidad de ataque continuará en ascenso durante 2026. “Los códigos QR maliciosos se han convertido en una de las herramientas de phishing más eficaces. Sin sistemas avanzados de análisis de imágenes en el correo electrónico y sin una cultura de escaneo seguro por parte de los empleados, las organizaciones seguirán expuestas a ataques con consecuencias financieras y reputacionales graves”, afirmó.
Ante este panorama, los especialistas recomiendan reforzar la capacitación del personal, implementar soluciones de seguridad con análisis de imágenes y limitar el uso de dispositivos móviles para tareas sensibles sin protección adecuada.
