Investigadores advierten que el 15% de los códigos QR analizados diariamente son maliciosos. Los atacantes están utilizando “Deep Links” para tomar el control de aplicaciones de mensajería y evadir los firewalls corporativos.
Escanear un código QR para ver el menú de un restaurante o pagar una factura se ha vuelto un acto reflejo. Sin embargo, esa misma conveniencia es ahora un arma de doble filo. Hoy 17 de febrero de 2026, sobre una escalada masiva en los ataques de “Quishing” (Phishing mediante códigos QR).
El peligro del código QR radica en su capacidad para trasladar un ataque desde un entorno protegido (como el correo electrónico corporativo en una computadora de escritorio) hacia el teléfono personal del usuario, el cual suele tener controles de seguridad mucho más débiles.
La Escala del Problema: 11,000 Amenazas Diarias
Los rastreadores de Unit 42 están analizando aproximadamente 75,000 códigos QR al día. Los resultados son alarmantes: el 15% de ellos (más de 11,000 diarios) conducen a enlaces maliciosos. Los atacantes no solo dirigen a las víctimas a páginas falsas de inicio de sesión de Microsoft 365 o bancos; están utilizando cadenas de redirección complejas y acortadores de URL dinámicos que cambian de destino o se autodestruyen después de unos días para frustrar el análisis de los investigadores.
El Peligro Invisible: “Deep Links” y Secuestro de Sesiones
La evolución más sofisticada documentada en este informe es el abuso de los Deep Links (enlaces profundos dentro de las aplicaciones). En lugar de abrir el navegador web, estos códigos QR contienen instrucciones específicas (como tglogin://) que le dicen al sistema operativo que abra directamente una aplicación instalada.
- Telegram y Signal en la Mira: Unit 42 observó más de 35,000 códigos QR que transportaban enlaces profundos de Telegram. El 97% de estos eran solicitudes de inicio de sesión fraudulentas.
- El Ataque: Si la víctima escanea el código, su aplicación de Telegram o WhatsApp se abre y le pide que apruebe la vinculación de un “nuevo dispositivo”. Si acepta (creyendo que es un requisito para acceder al archivo o descuento prometido), el atacante obtiene control total de la cuenta del usuario.
- Ciber Guerra: Los investigadores detectaron que esta táctica de enlaces profundos se usó en campañas altamente dirigidas contra usuarios de Signal en Ucrania, buscando comprometer comunicaciones críticas.
Bypass de las Tiendas de Aplicaciones
El tercer vector de ataque es la distribución directa de malware. Se registraron 59,000 detecciones vinculadas a 1,457 aplicaciones Android (APKs) maliciosas distintas que se entregaron exclusivamente a través de códigos QR, saltándose por completo las verificaciones de seguridad de la Google Play Store.
¿Cómo Defenderse del Quishing?
Dado que los filtros de correo tradicionales a menudo no pueden “leer” la imagen de un código QR incrustado en un PDF, la responsabilidad recae en nuevas herramientas y en el usuario:
- Para los Equipos de TI: Es imperativo implementar soluciones de seguridad de correo electrónico modernas que utilicen reconocimiento óptico de caracteres (OCR) e inteligencia artificial para extraer y analizar las URLs dentro de las imágenes QR antes de que lleguen a la bandeja de entrada del empleado.
- Previsualización Obligatoria: Si escaneas un código, usa la aplicación de cámara nativa de tu teléfono y lee siempre la URL de previsualización antes de tocarla. Si ves un acortador extraño o un dominio que no cuadra, cierra la cámara.
- Cero Vinculaciones Ciegas: Nunca apruebes un inicio de sesión en WhatsApp Web, Telegram o Signal a partir de un código QR que te llegó por correo o encontraste en la calle.
- Bloquea Orígenes Desconocidos: Mantén desactivada la opción de “Instalar aplicaciones de orígenes desconocidos” en tu dispositivo Android.
