El uso de códigos QR como vector de ataque se ha consolidado como una de las tácticas de phishing más efectivas del último año. De acuerdo con datos de Kaspersky, las detecciones de correos electrónicos que incorporan códigos QR maliciosos se multiplicaron por cinco entre agosto y noviembre de 2025, pasando de poco menos de 47 mil a casi 250 mil casos. No se trata solo de volumen: el problema está en cómo estos códigos logran eludir controles tradicionales y trasladan el riesgo directamente al usuario.
A diferencia de los enlaces clásicos, el código QR oculta el destino real hasta que se escanea, y ese gesto suele hacerse desde el teléfono móvil. En entornos corporativos, esto implica que el acceso se realiza fuera del ecosistema protegido del correo empresarial, muchas veces desde dispositivos con menores niveles de seguridad. Los códigos suelen venir incrustados en el cuerpo del mensaje o, con mayor frecuencia, dentro de archivos PDF adjuntos, una fórmula que refuerza la apariencia de legitimidad y reduce las sospechas.
Las campañas detectadas no se limitan a un solo tipo de engaño. Van desde formularios que imitan portales de inicio de sesión —especialmente servicios corporativos o cuentas de Microsoft— hasta supuestas notificaciones de recursos humanos, facturas falsas o confirmaciones de compra que buscan provocar una reacción rápida. En algunos casos, el ataque se complementa con llamadas telefónicas para reforzar la ingeniería social. El objetivo final es casi siempre el mismo: robar credenciales y abrir la puerta a accesos no autorizados, fraudes o filtraciones de información.
Más allá de la sofisticación técnica, el factor humano sigue siendo clave. La urgencia del mensaje y su apariencia rutinaria hacen que muchos usuarios escaneen sin verificar, delegando una decisión crítica de seguridad en un acto casi automático. Ese punto ciego es el que convierte al phishing con códigos QR en una amenaza especialmente difícil de contener y que, según los analistas, seguirá ganando protagonismo en 2026.
La tendencia deja una advertencia clara: los códigos QR ya no son solo una herramienta cómoda para acceder a información, sino también un canal cada vez más explotado por los ciberdelincuentes. Entender cómo se están utilizando y asumir que el riesgo no siempre llega en forma de enlace visible es parte del nuevo escenario de seguridad digital.
