Los expertos de Kaspersky identificaron un aumento significativo de correos electrónicos de phishing que incorporan códigos QR maliciosos.
Las detecciones se incrementaron de 46.969 en agosto a 249.723 en noviembre de 2025, evidenciando cómo los ciberdelincuentes explotan este vector para vulnerar la seguridad organizacional.
Estos elementos suelen estar incrustados directamente en el cuerpo del mensaje o dentro de archivos PDF.
Esta evolución oculta los enlaces fraudulentos y anima a los usuarios a escanearlos con teléfonos móviles, los cuales suelen tener una protección más débil que las computadoras de trabajo.
Los códigos QR maliciosos aparecen con frecuencia tanto en campañas masivas como en ataques dirigidos. Los enlaces incrustados pueden llevar a:
- Formularios de phishing que suplantan páginas de inicio de sesión de servicios como cuentas de Microsoft o portales corporativos internos, diseñados para robar nombres de usuario, contraseñas y otras credenciales.
- Falsas notificaciones de RRHH que instan a los empleados a revisar o firmar documentos, como calendarios de vacaciones, o incluso a consultar listas de personal despedido, dirigiéndolos finalmente a sitios de robo de credenciales.
- Facturas o confirmaciones de compra fraudulentas en archivos PDF adjuntos, a menudo combinadas con tácticas de vishing que incitan a las víctimas a llamar a números de teléfono proporcionados para “cancelar” o aclarar la transacción, lo que permite nuevos ataques de ingeniería social.
Estas tácticas explotan la confianza en las comunicaciones empresariales rutinarias y pueden derivar en robos de credenciales, toma de control de cuentas y fraude financiero.
A diferencia de los enlaces tradicionales, esta modalidad traslada la decisión al empleado, quien suele escanearlos fuera del entorno protegido del correo corporativo.
“Los códigos QR maliciosos se han convertido en una de las herramientas de phishing más eficaces durante 2025, y así se espera que continúen en 2026, especialmente cuando se ocultan en archivos PDF adjuntos o se presentan como comunicaciones empresariales legítimas”, asegura Leandro Cuozzo, analista de seguridad para América Latina en la firma.
Explica que, sin capacidades avanzadas de análisis de imágenes, las organizaciones se exponen a pérdidas financieras y daños reputacionales.
Para defenderse frente a esta amenaza creciente, la organización recomienda:
- Capacitar de forma continua a los empleados, especialmente en la identificación de correos sospechosos y en los riesgos de escanear códigos QR recibidos por email.
- Reforzar la protección de credenciales corporativas mediante autenticación multifactor y controles de acceso para minimizar el impacto de posibles robos.
- Proteger el correo electrónico corporativo con soluciones especializadas que permitan bloquear spam, phishing y ataques mediante códigos QR.
