Olvídate de las imágenes adjuntas. Una nueva campaña de phishing está utilizando tablas HTML para “dibujar” códigos QR píxel a píxel, logrando evadir los escáneres de seguridad tradicionales que buscan archivos gráficos.
La batalla contra el phishing por código QR (conocido como Quishing) ha dado un giro técnico inesperado. Investigadores han detectado una campaña activa, ejecutada entre finales de diciembre y principios de enero de 2026, que utiliza códigos QR “sin imagen” (imageless) para burlar las defensas de correo electrónico.
En lugar de insertar un archivo .png o .jpg (que los sistemas de seguridad pueden analizar fácilmente mediante OCR), los atacantes están construyendo el código visualmente utilizando cientos de celdas de una tabla HTML.
¿Cómo funciona la técnica “Imageless”?
Para el ojo humano, parece un código QR normal. Para el filtro de seguridad, es solo código inofensivo.
- Construcción HTML: Los atacantes utilizan la etiqueta <table> de HTML.
- Píxeles como Celdas: Dividen la tabla en una cuadrícula de 4×4 píxeles.
- Estilo en Línea: Asignan colores de fondo (bgcolor=”#000000″ para negro, bgcolor=”#FFFFFF” para blanco) a cada celda individual para recrear el patrón del código QR.
HTML
<table role=”presentation” border=”0″>
<tr>
<td width=”4″ height=”4″ bgcolor=”#000000″></td>
<td width=”4″ height=”4″ bgcolor=”#FFFFFF”></td>
</tr>
</table>
El Resultado
El cliente de correo renderiza esta tabla como un código QR funcional que la cámara del smartphone puede leer, pero el filtro de seguridad no ve ninguna imagen para escanear.
El Ataque y el Destino
Los correos electrónicos observados son minimalistas, con textos breves urgiendo a la víctima a escanear el código para una supuesta verificación de seguridad o actualización de cuenta.
Al escanearlo, el usuario es redirigido a subdominios de lidoustoo[.]click. Para aumentar la credibilidad, la URL maliciosa a menudo incluye el nombre de dominio de la propia empresa de la víctima en la ruta (ej. hxxps[:]//lidoustoo[.]click/empresa.com), lo que ayuda a engañar a usuarios que verifican el enlace superficialmente.
¿Por qué es peligroso?
Esta técnica explota un “punto ciego” en los Secure Email Gateways (SEG). La mayoría de estas herramientas están configuradas para:
- Buscar archivos adjuntos maliciosos.
- Analizar imágenes incrustadas usando OCR (Reconocimiento Óptico de Caracteres) para extraer URLs.
- Buscar palabras clave de phishing en el texto.
Como este ataque no tiene archivos adjuntos, ni imágenes reales, y el texto es mínimo, pasa a través de los filtros como si fuera un correo con formato HTML estándar.
Recomendaciones
- Análisis DOM: Las soluciones de seguridad deben evolucionar para analizar la estructura del Document Object Model (DOM) y detectar patrones anómalos, como tablas con cientos de celdas pequeñas y colores contrastantes.
- Educación de Usuario: Reforzar la regla de oro: Nunca escanear códigos QR que lleguen por correo electrónico no solicitado, incluso si parecen venir de Microsoft, Google o el departamento de TI.
- Bloqueo de Red: Si es posible, bloquear dominios de reciente creación o con baja reputación a nivel de DNS corporativo, ya que estos ataques suelen usar infraestructura desechable.
