Lima, enero de 2026.- Los ataques de phishing con códigos QR registraron un crecimiento acelerado en los últimos meses de 2025, encendiendo las alertas en el ámbito corporativo. Un análisis de Kaspersky revela que este tipo de correos electrónicos maliciosos se multiplicó por más de cinco entre agosto y noviembre, exponiendo a las organizaciones al robo de credenciales, fraudes financieros y brechas de seguridad, especialmente a través de teléfonos móviles corporativos, que suelen tener menores niveles de protección que las computadoras de escritorio o portátiles.
De acuerdo con los expertos de la compañía de ciberseguridad, las detecciones de correos de phishing que incorporan códigos QR maliciosos pasaron de 46.969 en agosto a 249.723 en noviembre de 2025. Este incremento sostenido evidencia cómo los ciberdelincuentes están adoptando los códigos QR como un vector de ataque cada vez más frecuente, aprovechando su capacidad para ocultar enlaces fraudulentos y evadir los filtros tradicionales de seguridad del correo electrónico.
Además, los atacantes suelen incrustar estos códigos directamente en el cuerpo del mensaje o, con mayor frecuencia, dentro de archivos adjuntos en formato PDF. Esta técnica no solo dificulta la detección automática de enlaces maliciosos, sino que también incentiva a los usuarios a escanearlos con sus teléfonos móviles. En muchos entornos corporativos, estos dispositivos no cuentan con las mismas capas de protección que los equipos de trabajo, lo que incrementa el riesgo de comprometer información sensible.
Códigos QR maliciosos en campañas masivas y ataques dirigidos
Los códigos QR utilizados con fines de phishing aparecen tanto en campañas masivas como en ataques dirigidos a empresas específicas. Los enlaces que contienen suelen conducir a distintos escenarios de fraude. Entre los más comunes se encuentran formularios de phishing que imitan páginas de inicio de sesión de servicios ampliamente utilizados, como cuentas de Microsoft o portales corporativos internos, diseñados para capturar nombres de usuario, contraseñas y otros datos críticos.
Por otro lado, se han identificado falsas notificaciones de recursos humanos que instan a los empleados a revisar documentos supuestamente internos, como calendarios de vacaciones, formularios administrativos o incluso listas de personal desvinculado. Estos mensajes apelan a la urgencia y la curiosidad, redirigiendo finalmente a sitios creados para el robo de credenciales.
También se detectan facturas o confirmaciones de compra fraudulentas enviadas en archivos PDF adjuntos, que en algunos casos se combinan con tácticas de vishing, es decir, phishing por voz. En estos escenarios, las víctimas son inducidas a llamar a números telefónicos para “cancelar” una transacción inexistente, lo que abre la puerta a nuevas maniobras de ingeniería social y fraudes financieros.
El factor humano, el mayor riesgo para las organizaciones
Más allá del volumen de correos detectados, el principal riesgo para las empresas radica en la interacción del usuario. A diferencia de los enlaces tradicionales, los códigos QR trasladan la decisión de seguridad directamente al empleado, quien suele escanearlos de forma automática y fuera del entorno protegido del correo corporativo. Este comportamiento reduce la capacidad de detección del fraude por parte de las soluciones de seguridad y aumenta la probabilidad de que las credenciales corporativas sean comprometidas.
Este factor humano, sumado a la apariencia legítima de los mensajes y a la presión por responder con rapidez, facilita accesos no autorizados y ataques posteriores dentro de la organización, con consecuencias que pueden ir desde la filtración de datos hasta interrupciones operativas significativas.
“Los códigos QR maliciosos se han convertido en una de las herramientas de phishing más eficaces durante 2025 y se espera que continúen siéndolo en 2026, especialmente cuando se ocultan en archivos PDF adjuntos o se presentan como comunicaciones empresariales legítimas”, señala Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky. “Sin capacidades avanzadas de análisis de imágenes en el correo electrónico y sin prácticas seguras de escaneo por parte de los usuarios, las organizaciones se exponen a ataques que pueden traducirse en pérdidas financieras y daños reputacionales relevantes”.
Recomendaciones para mitigar el phishing con códigos QR
Frente a este escenario, los especialistas de Kaspersky recomiendan adoptar un enfoque integral de seguridad. En primer lugar, destacan la importancia de capacitar de forma continua a los empleados, con énfasis en la identificación de correos sospechosos y en los riesgos asociados al escaneo de códigos QR recibidos por email.
Asimismo, aconsejan reforzar la protección de las credenciales corporativas mediante el uso de autenticación multifactor y controles de acceso más estrictos, con el fin de reducir el impacto de un posible robo de credenciales. Finalmente, recomiendan proteger el correo electrónico corporativo con soluciones especializadas, como Kaspersky Security for Mail Server, que permiten bloquear spam, phishing, ataques BEC, infecciones transmitidas por correo electrónico y amenazas que utilizan códigos QR como vector de ataque.
La adopción de estas medidas resulta clave para reducir la exposición de las empresas frente a una técnica de phishing que continúa evolucionando y ganando terreno en el panorama de amenazas digitales.