Aumentan los fraudes con códigos QR en correos electrónicos: lo que debes saber de estos ataques

El avance de la digitalización ha creado nuevas oportunidades para la ciberdelincuencia, y recientemente los fraudes con códigos QR en correos electrónicos se han consolidado como una de las amenazas más preocupantes para empresas y usuarios.

Datos recientes de la firma de ciberseguridad Kaspersky revelan que la detección de mensajes fraudulentos que incluyen estos códigos pasó de menos de 50.000 en agosto a casi 250.000 en noviembre de 2025, lo que refleja una tendencia alarmante.

El principal atractivo de los códigos QR para los atacantes radica en su capacidad para ocultar enlaces maliciosos y evadir los sistemas de seguridad convencionales. A diferencia de los hipervínculos tradicionales, los códigos QR trasladan la decisión de clic al usuario, quien suele escanearlos con su teléfono móvil fuera del entorno protegido del correo empresarial.

Este cambio debilita los controles y facilita la obtención de credenciales, el acceso no autorizado y la filtración de información sensible.

Cómo operan y quiénes son propensos a estos fraudes

La táctica más común consiste en incrustar el código QR directamente en el cuerpo del correo o, en casos más sofisticados, dentro de archivos adjuntos en PDF. El usuario recibe un mensaje que aparenta provenir de servicios legítimos como Microsoft, plataformas corporativas o áreas de recursos humanos. Entre los ganchos habituales se encuentran:

• Formularios de inicio de sesión falsos: Dirigen a páginas que imitan portales oficiales para robar nombres de usuario y contraseñas.
• Notificaciones de recursos humanos: Solicitan revisar documentos internos, como calendarios de vacaciones o listas de personal, pero redirigen a sitios fraudulentos.
• Facturas y confirmaciones de compra: Archivos PDF que simulan ser documentos de cobros o reembolsos y emplean nuevas estrategias de ingeniería social, como el vishing.

En todos los escenarios, la urgencia y la apariencia legítima del mensaje inducen al usuario a escanear el código QR sin comprobar su autenticidad.

El riesgo principal se encuentra en la interacción humana. Los empleados, habituados a escanear códigos QR en restaurantes, eventos y actividades cotidianas, tienden a repetir este comportamiento en el entorno laboral, muchas veces desde sus dispositivos personales. Al hacerlo fuera de los filtros de seguridad corporativos, los ataques pueden eludir las defensas y comprometer sistemas internos.

Una vez que el dispositivo móvil participa en el ataque, el malware puede propagarse, robar información adicional y facilitar el acceso a otros sistemas conectados.

Las consecuencias incluyen robo de credenciales, acceso a cuentas empresariales, filtración de datos sensibles y fraude financiero. El informe mencionado advierte que esta técnica de bajo costo se está consolidando como una de las más eficaces y persistentes, con perspectivas de crecimiento en 2026.

El daño reputacional y las pérdidas económicas pueden ser considerables, sobre todo en organizaciones sin políticas de capacitación ni herramientas de análisis de imágenes en sus sistemas de correo.

Estrategias de protección para empresas y usuarios

Para mitigar los riesgos, los expertos recomiendan:

• Capacitación continua para que los empleados identifiquen correos sospechosos y comprendan los peligros de escanear códigos QR recibidos por email.
• Evitar escanear códigos QR de remitentes desconocidos o no verificados. Ante la duda, se debe contactar al remitente por otro canal.
• Fortalecer el acceso con autenticación multifactor y controles adicionales.
• Utilizar soluciones de seguridad que analicen imágenes y bloqueen archivos adjuntos sospechosos.
• Definir políticas claras sobre el manejo de correos y archivos, restringiendo la apertura de documentos y enlaces no identificados y reportando incidentes al equipo de IT.

El incremento de los fraudes con códigos QR en correos electrónicos es una advertencia para empresas y usuarios. La prevención y la formación continua siguen siendo las mejores armas para enfrentar estas amenazas que explotan la confianza y la rutina digital cotidiana.