En un restaurante, en la mesa de un congreso jurídico, en la recepción de un juzgado o pegado en la puerta de una pyme: hoy vivimos rodeados de códigos QR. Apuntamos con la cámara, aceptamos lo que salga en pantalla y seguimos con nuestra vida. Es cómodo, es rápido… y es exactamente lo que los atacantes necesitan.
En 2025, las campañas de phishing que incluyen códigos QR se multiplicaron por cinco, convirtiéndose en una de las técnicas más efectivas para robar credenciales y acceder a sistemas corporativos, especialmente a través de teléfonos móviles de empresa. El fenómeno ya tiene nombre propio: quishing (QR + phishing).
Este artículo no pretende demonizar el QR. Pretende algo más incómodo: que nunca vuelvas a mirar uno con la misma inocencia.
Del menú del bar al fraude corporativo
La pandemia y la digitalización facilitaron el uso masivo de códigos QR: cartas digitales, certificados, accesos a WiFi, registro en eventos, pagos, promociones, acceso a documentación. Para el usuario medio, un QR es “la foto de un cuadrado” que abre algo; para un atacante, es un enlace opaco que el ojo humano no puede revisar.
Lo que antes era un enlace visible en un correo (“pincha aquí y actualiza tu contraseña”) hoy se esconde detrás de un patrón de puntos que nadie cuestiona. En entornos profesionales esto es letal: el empleado que nunca haría clic en un enlace sospechoso en su PC no tiene el mismo reflejo de desconfianza cuando escanea un QR con su móvil.
La consecuencia es clara: los códigos QR son ya uno de los vectores preferidos para:
- Dirigir a webs de phishing que imitan portales bancarios, intranets, paneles de VPN o aplicaciones críticas.
- Forzar la descarga de aplicaciones maliciosas o perfiles de configuración en el dispositivo.
- Lanzar formularios “inocentes” que roban credenciales o datos de tarjeta.
Cuando esto ocurre en un móvil personal, el daño es grave; cuando es el móvil corporativo de un abogado, un perito, un mando policial o un directivo, el incidente puede escalar a brecha de datos, compromiso de expedientes y responsabilidad legal para la organización.
Cómo funciona un ataque de “quishing” paso a paso
Los patrones se repiten con pequeñas variaciones.
- Creación de la campaña: El atacante diseña una web de phishing que copia el aspecto de un portal legítimo (banco, empresa tecnológica, plataforma interna, firma de firma electrónica, etc.).
Genera un código QR que apunta a esa URL fraudulenta, normalmente alojada en un dominio que “suena” confiable (subdominios con nombre de marca, TLD poco visibles, etc.). - Distribución del QR
- En físico: pegatinas sobre carteles reales, sustitución de códigos en mesas, carteles de eventos, carteles en estacionamientos, supuestos avisos de “actualización de app”.
- En digital: correos electrónicos con PDF adjuntos que incluyen QRs, campañas de marketing falsas, mensajes de mensajería instantánea o redes sociales con una imagen QR.
- Escaneo con móvil (personal o corporativo): O escanear el código, normalmente desde el teléfono, que el usuario suele tener menos controles de seguridad visibles que el PC de trabajo.
Si se trata de un correo corporativo, la combinación es demoledora: “correo + PDF + QR” pasa más filtros que un simple enlace en texto. - Captura de credenciales o infección
- Phishing clásico: formulario que solicita usuario y contraseña de VPN, correo, banca online, CRM, portal del colegio profesional, etc.
- Descarga de app maliciosa: se invita a instalar una “app de seguridad”, un lector especial de QRs o una herramienta de autenticación.
- Robo de tokens/MFA: en ataques más preferidos se intenta eludir la autenticación multifactor aprovechando sesiones abiertas y capturando códigos en tiempo real.
- Explotación dentro de la organización: Con las credenciales robadas, los atacantes acceden a sistemas internos, extraen información, distribuyen malware o preparan nuevos movimientos laterales dentro de la red corporativa.
Un problema de empresa, no solo de usuario
Según informes recientes, las detecciones de correos de phishing con códigos QR pasaron de unas 47.000 en agosto a casi 250.000 en noviembre de 2025, un crecimiento de más de cinco veces en solo tres meses. Esta tendencia apunta directamente al entorno corporativo: los atacantes saben que el móvil del empleado es hoy la pieza más débil del ecosistema.
Para abogados, peritos, cuerpos policiales, empresarios y profesionales tecnológicos, esto tiene implicaciones muy concretas:
- Abogados y despachos:
- Riesgo de acceso indebido a expedientes, correos con información privilegiada, datos de clientes y estrategias procesales.
- Posibles responsabilidades por brechas de datos (LOPDGDD, RGPD) y compromisos de confidencialidad.
- Peritos y analistas forenses:
- Exposición de documentación técnica, informes, evidencias electrónicas en curso y comunicaciones con juzgados o clientes.
- Riesgo de pérdida de integridad o confidencialidad de la evidencia bajo custodia.
- Cuerpos policiales y operadores jurídicos:
- Compromiso de dispositivos utilizados en investigación, posibles filtraciones de operaciones en curso o datos sensibles de víctimas y testigos.
- Empresas y directivos:
- Accesos a sistemas corporativos, ERPs, CRMs, tesorería, banca online.
- Impacto reputacional, económico y regulatorio si el incidente deriva en fuga de información.
No estamos ante un simple problema de “usuarios despistados”, sino ante un vector de ataque que explota precisamente los procesos de trabajo actuales y la movilidad de los profesionales.
La respuesta no puede ser “prohibimos los QR”. Los códigos QR seguirán ahí porque son útiles y eficientes. La cuestión es en qué condiciones los integramos en la operativa jurídica, empresarial y tecnológica.
Algunas líneas de acción que deben estar ya en la agenda de cumplimiento y seguridad:
- Política sobre escaneo de QR con dispositivos corporativos
- Definir qué tipo de códigos pueden escanearse (internos, verificados, propios) y cuáles no (pegatinas en la calle, publicidad, soportes no controlados).
- Establecer que cualquier QR que implique autenticación o pago debe considerarse sospechoso por defecto.
- Formación específica en quishing para crítico personal
- Abogados, peritos, mandos policiales y directivos deben recibir formación práctica con ejemplos reales: correos con PDF + QR, carteles adulterados, sitios de phishing bien diseñados.
- Simulaciones de campañas internas de quishing para medir la respuesta.
- Revisión de herramientas y controles técnicos.
- Uso de lectores de QR que muestren siempre la URL completa y obligan al usuario a confirmarla antes de abrirla.
- Integración de capacidades de análisis de imágenes en soluciones de filtrado de correo (para detectar QR maliciosos incrustados en PDF o imágenes).
- Políticas de MDM/EMM en móviles corporativos: restricción de instalaciones, aislamiento de datos, uso de contenedores seguros.
- Gobierno del dato y del dispositivo
- Separar entornos: que el móvil que accede a expedientes o evidencias no se usa alegremente para todo (ocio, descargas, apps no controladas).
- Revisar contratos y cláusulas con proveedores que integran QR en procesos (facturación, accesorios, eventos).
Claves prácticas para el profesional: sin paranoia, pero con criterio
El objetivo no es dejar de usar códigos QR, sino incorporarlos a la misma cultura de escepticismo que ya empezamos a aplicar al correo electrónico ya los enlaces sospechosos.
Algunas reglas sencillas, pensadas para tu día a día:
- Regla de oro: si no sabes quién lo ha puesto, no lo escanees.
Un QR sin contexto claro, pegado en una farola, en un ascensor, en una sala de espera, en una tarjeta de visita improvisada… merece duda. - Siempre lea la URL antes de aceptar: Aun cuando confies en el origen (el restaurante, el congreso, el colegio profesional), acostúmbrate a mirar la dirección que muestra el lector antes de abrirla:
- ¿Es el dominio oficial?
- ¿Hay errores sutiles (letras cambiadas, dominios raros, subdominios excesivos)?
- Desconfiar de QRs que piden credenciales críticas: Si tras escanear un código QR te piden usuario y contraseña de banca, VPN, correo, intranet o firma digital, levanta la ceja:
- Mejor acceder escribiendo directamente la URL oficial en el navegador.
- Consultar por otro canal (llamada a la entidad, portal del colegio, intranet).
- No mezclar corporativo móvil con “todo lo demás”: Evita escanear QRs de publicidad, ocio o desconocidos con el teléfono donde tienes correo profesional, expedientes, evidencias o accesos críticos.
- Cuando no haya alternativa, aplica doble filtro: revisar URL, validar por otro canal y limitar permisos.
- En entorno jurídico/forense, incidentes documentales.
Ante cualquier sospecha de quishing que pueda afectar a expedientes o evidencias:- Documentar lo ocurrido (capturas del QR, de la URL, de los correos).
- Comunicar al responsable de seguridad o al equipo jurídico.
- Plantear, si procede, medidas de contención y análisis forense.
El quishing no solo es un riesgo; También es ya objeto de pericia y de investigación penal.
- En el ámbito penal, la combinación de correo + PDF + QR malicioso está siendo utilizada para estafas, accesos ilícitos y compromisos de cuentas, con impacto en fraude económico, blanqueo o acceso a datos personales.
- Para el perito informático, el análisis de estos casos exige:
- Preservar correctamente el correo, el PDF y la imagen del QR.
- Reconstruir la URL real y los servidores implicados.
- Correlacionar horarios, IPs, dispositivos y patrones de conexión.
- Para las fuerzas y cuerpos de seguridad, se abre un terreno que obliga a combinar investigación digital, análisis de infraestructura y trazabilidad financiera o de datos.
Quien domine estos escenarios, desde el punto de vista técnico y jurídico, tendrá una ventaja competitiva clara: podrá asesorar mejor, peritar con más rigor y litigar con más armas en sala.
el QR no es el enemigo, la confianza ciega sí
El código QR es solo un vehículo. Puede llevarte a la carta del restaurante, al material de un congreso, a una sede electrónica… oa una trampa diseñada para que entregues tus credenciales sin pensarlo dos veces.
Para un público profesional como el de Tecfuturo —abogados, peritos, estudiantes avanzados, cuerpos policiales, empresarios y tecnólogos— el reto no es “tener miedo” al QR, sino interiorizar tres ideas sencillas:
- Ver un QR es ver un enlace opaco: exige el mismo nivel de desconfianza que un enlace en un correo sospechoso.
- El corporativo móvil es un activo crítico, no un juguete para escanear cualquier cosa.
- La gestión del riesgo QR ya forma parte de la ciberhigiene básica de cualquier organización que trabaje con información sensible.
Quizás el próximo QR que escanees sea, efectivamente, la carta del restaurante. Pero que esa carta te encuentres con algo que hoy muchos aún no tienen: una mirada profesional, crítica y consciente del riesgo.
