Alerta Ciberseguridad: El Auge del 'Quishing'

Una nueva variante de ingeniería social, denominada «Quishing» (QR + Phishing), está eludiendo los filtros de seguridad tradicionales y poniendo en jaque a empresas y autónomos mediante el uso fraudulento de códigos QR en facturas y comunicaciones corporativas.

Alerta Ciberseguridad: El escaneo de códigos QR no verificados es la puerta de entrada para el robo de credenciales corporativas.

¿Qué ha sucedido exactamente?

En las últimas semanas, los centros de operaciones de seguridad han detectado un incremento masivo del Quishing. A diferencia del phishing tradicional basado en enlaces de texto maliciosos, los ciberdelincuentes están incrustando códigos QR en documentos PDF adjuntos o directamente en el cuerpo de correos electrónicos que simulan ser de proveedores legítimos (energía, software o entidades bancarias).

El problema técnico radica en que muchos filtros de correo electrónico (antispam) están diseñados para escanear texto y URLs, pero tienen dificultades para interpretar imágenes o procesar el destino de un código QR en tiempo real. Al pedir al empleado que escanee el código con su dispositivo móvil personal para «verificar una factura» o «actualizar la autenticación de dos factores», los atacantes sacan a la víctima del entorno protegido de la red corporativa y la llevan a una web fraudulenta en su móvil, donde es más difícil verificar la URL.

Por qué esto es crucial para tu Empresa o Negocio

Para una PYME o un autónomo, el riesgo es crítico porque ataca el punto más vulnerable: el factor humano y la mezcla de dispositivos personales con profesionales (BYOD). No se trata solo de una molestia, sino de un vector de entrada directo a las cuentas bancarias o a la suite de gestión de la empresa.

Robo de Credenciales de Microsoft 365 / Google Workspace: La mayoría de estos ataques simulan páginas de inicio de sesión de Microsoft o Google. Si un empleado cae, los atacantes obtienen acceso completo al correo y documentos de la empresa.
Invisibilidad ante el Antivirus: Al ocurrir la infección o el robo de datos en el dispositivo móvil del empleado (que suele estar menos protegido que el PC de la oficina), los sistemas de seguridad de la empresa no detectan la brecha hasta que es demasiado tarde.
Suplantación de Identidad de Proveedores: Al imitar facturas urgentes, se presiona al departamento de administración para actuar rápido, facilitando pagos fraudulentos.

Acciones Recomendadas: ¿Qué debes hacer ahora?

La defensa contra el Quishing requiere una combinación de concienciación y ajustes técnicos. No es necesario entrar en pánico, pero sí establecer protocolos claros hoy mismo.

Protocolo de «Cero Escaneo» en Correos: Instruye a todo tu equipo para que nunca escaneen un código QR enviado por correo electrónico para realizar pagos o iniciar sesión. Las empresas legítimas rara vez exigen un QR como único método de acceso.
Verificación de Doble Vía: Si llega una factura con un QR sospechoso, no interactúes con el correo. Entra directamente a la página web del proveedor escribiendo la dirección en el navegador o llama por teléfono para verificar la solicitud.
Refuerzo de la Autenticación Multifactor (MFA): Asegúrate de utilizar llaves de seguridad físicas (FIDO2) o aplicaciones de autenticación, y desconfía de cualquier QR que te pida «re-autenticar» tu cuenta inesperadamente.

Conclusión Alerta Ciberseguridad

La ciberseguridad evoluciona porque los delincuentes buscan constantemente el camino de menor resistencia. El Quishing se aprovecha de nuestra confianza habitual en los dispositivos móviles. Adoptar una postura de escepticismo saludable y formar a tu equipo son las inversiones más rentables para evitar pérdidas millonarias y proteger la reputación de tu negocio.

Para profundizar en las estadísticas y alertas técnicas sobre esta tendencia, recomendamos consultar el informe de la Oficina de Seguridad del Internauta (INCIBE).

Si te preocupa la seguridad de tus comunicaciones, te invitamos a leer nuestra guía interna sobre cómo configurar filtros antispam avanzados para empresas.