Quishing es phishing mediante códigos QR. El atacante envía un email con una imagen QR que redirige a una página de credential harvesting. La ventaja: los filtros de email no pueden analizar URLs dentro de imágenes QR, y el QR se escanea en el móvil personal que carece de controles corporativos.

¿Cuánto ha crecido el quishing?

Crecimiento exponencial: +587% entre 2023-2024 según datos de HP Wolf Security. Microsoft 365 es el target principal (~60% de campañas). El quishing representa ya el 11% de todos los emails de phishing en 2025.

IntermedioquishingQR codephishingMicrosoft 365evasión

Quishing: Ataques de Phishing via QR Code y Campañas Documentadas

Q: ¿Por qué el quishing evade los filtros de seguridad?

Los secure email gateways analizan URLs en texto y adjuntos, pero un QR es una imagen (PNG/SVG). La URL está codificada visualmente, no como texto. Además, el usuario escanea con su móvil personal, fuera del perímetro corporativo y sin EDR/proxy.

Quishing (QR code phishing): cómo funcionan los ataques con códigos QR, por qué evaden filtros de email, campañas documentadas contra Microsoft 365, técnicas de evasión y detección para equipos SOC.

MalwareIntel Research·5 de junio de 2026·14 min lectura

Serie: Phishing y Social Engineering — Parte 6

El punto ciego de los filtros de correo

Los secure email gateways (SEG) llevan dos décadas perfeccionando su capacidad para detectar URLs maliciosas en el cuerpo de los emails, en adjuntos PDF y en documentos Office. Analizan texto, resuelven redirects, verifican reputación de dominios. Pero tienen un punto ciego fundamental: no pueden leer una URL codificada dentro de una imagen.

Eso es exactamente lo que explota el quishing. Un código QR es, en esencia, una URL representada como patrón visual de píxeles. Para el gateway de correo, es una imagen más. Para el usuario que la escanea con su teléfono personal, es una puerta directa a una página de credential harvesting que opera fuera de cualquier control corporativo.

El resultado: una técnica de phishing que ha crecido un 587% entre 2023 y 2024, que representa ya el 11% de todos los emails de phishing en 2025, y que tiene como target principal las credenciales de Microsoft 365.

Qué es quishing

Quishing es la contracción de "QR code phishing". El término describe cualquier ataque de phishing que utiliza un código QR como vector de entrega de la URL maliciosa, en lugar de un enlace de texto convencional.

La técnica no es nueva en concepto. Los primeros casos documentados datan de 2012, cuando investigadores de Carnegie Mellon demostraron que los códigos QR podían usarse para dirigir usuarios a páginas de phishing. Pero la adopción masiva de QR durante la pandemia de COVID-19 (menús de restaurantes, registros sanitarios, pagos contactless) normalizó el comportamiento de "escanear sin pensar", creando las condiciones perfectas para la explosión del quishing a partir de 2023.

Lo que distingue al quishing del phishing tradicional no es la sofisticación del señuelo ni la calidad de la página de destino. Es el mecanismo de entrega: la URL nunca aparece como texto en el email, lo que anula la capacidad de inspección de la mayoría de controles de seguridad.

Cómo funciona un ataque de quishing paso a paso

El flujo de un ataque de quishing típico sigue seis fases:

Fase 1: Generación del señuelo. El atacante crea un email que simula una comunicación legítima: actualización de contraseña de Microsoft 365, factura pendiente, verificación de autenticación multifactor (MFA) o documento compartido en SharePoint. El email contiene una imagen QR embebida (inline o como adjunto) en lugar de un enlace clicable.

Fase 2: Entrega. El email pasa los filtros del gateway. El SEG analiza el cuerpo en busca de URLs sospechosas, pero la URL está dentro de la imagen QR, codificada como patrón visual. El email llega a la bandeja de entrada del usuario.

Fase 3: Escaneo del QR. El usuario escanea el código QR con la cámara de su teléfono personal. Este es el momento clave del ataque: la interacción pasa del ordenador corporativo (con EDR, proxy, controles de red) al dispositivo móvil personal (sin controles corporativos).

Fase 4: Redirect chain. La URL del QR raramente apunta directamente a la página de phishing. Pasa por una cadena de redirects a través de servicios legítimos (Bing redirect, Google AMP, Cloudflare Workers, acortadores de URLs) para ofuscar el destino final y dificultar el análisis.

Fase 5: Credential harvesting. El usuario llega a una página que replica la pantalla de login de Microsoft 365 (o del servicio objetivo). El kit de phishing captura las credenciales, y en campañas avanzadas también el token MFA en tiempo real mediante ataques adversary-in-the-middle (AiTM) con herramientas como Evilginx2.

Fase 6: Explotación. El atacante usa las credenciales robadas para acceder al buzón de la víctima, configurar reglas de reenvío de correo, lanzar ataques de Business Email Compromise (BEC) internos, o exfiltrar datos desde SharePoint y OneDrive.

Por qué el quishing evade los filtros de seguridad

La efectividad del quishing se sustenta en tres gaps de seguridad que se refuerzan mutuamente:

Gap 1: los gateways de email no decodifican QR

La mayoría de secure email gateways (Proofpoint, Mimecast, Microsoft Defender for Office 365, Barracuda) están diseñados para analizar URLs en texto plano, en HTML, en adjuntos PDF y en documentos Office. Pero un código QR embebido como imagen PNG, JPEG o SVG no contiene texto extraíble mediante parseo estándar.

Decodificar un QR requiere procesamiento de imagen: la solución debe identificar que una imagen contiene un patrón QR, decodificarlo y extraer la URL embebida. Esta capacidad existe en librerías como zbarimg o pyzbar, pero la mayoría de SEGs no la implementan en su pipeline de análisis por razones de rendimiento y de tasa de falsos positivos.

Gap 2: el salto al dispositivo móvil personal

Cuando el usuario escanea el QR con su teléfono personal, el tráfico web resultante no pasa por ningún control corporativo:

Control corporativo	¿Activo en PC?	¿Activo en móvil personal?
Web proxy / SWG	Sí	No
EDR / XDR	Sí	No
DNS filtering	Sí	No (usa DNS del ISP/móvil)
DLP	Sí	No
Browser isolation	Sí	No

El atacante consigue que la víctima realice la acción comprometida (introducir credenciales) en un dispositivo que la organización no controla, no monitoriza y probablemente ni siquiera conoce.

Gap 3: confianza implícita en el QR

A diferencia de un enlace de texto donde el usuario puede (en teoría) inspeccionar la URL antes de hacer clic, un código QR es opaco. El usuario no puede saber a dónde le llevará el código hasta después de escanearlo. Y la cámara del teléfono muestra la URL solo brevemente, en texto pequeño, a menudo truncada, durante una fracción de segundo antes de abrir el navegador.

La pandemia entrenó a millones de personas para escanear QR sin dudar: en restaurantes, transporte público, eventos y pagos. Ese hábito se transfiere directamente al contexto laboral.

Estadísticas de crecimiento del quishing

Los datos de múltiples fuentes de threat intelligence confirman una tendencia explosiva:

Métrica	Dato	Fuente
Crecimiento 2023-2024	+587% en emails de quishing detectados	HP Wolf Security Q1 2024
Proporción de phishing total	11% de todos los emails de phishing en 2025	Egress Threat Intelligence
Target principal	Microsoft 365 (~60% de campañas)	Cofense Annual Report 2024
Tasa de escaneo del QR	35-40% de receptores escanean el código	Abnormal Security, 2024
Tiempo medio de detección	4.8 horas (vs 1.2h para phishing con URL)	Hoxhunt Research 2024
Sectores más atacados	Energía, finanzas, manufactura, sanidad	ReliaQuest Threat Report

La tasa de escaneo del 35-40% es significativamente superior a la tasa de clic en enlaces de phishing tradicional (8-12%), lo que confirma que la opacidad del QR reduce la capacidad del usuario para evaluar el riesgo antes de interactuar.

Técnicas de evasión avanzadas

Los operadores de quishing han desarrollado técnicas cada vez más sofisticadas para evitar detección tanto por gateways como por análisis manual.

QR embebido en adjuntos PDF

En lugar de incluir el QR directamente en el cuerpo del email, el atacante lo coloca dentro de un PDF adjunto. El email contiene solo texto legítimo ("Consulte el documento adjunto para verificar su identidad"), y el QR está en la segunda o tercera página del PDF. Los SEGs que sí implementan decodificación de QR a menudo lo hacen solo sobre imágenes inline en el cuerpo del email, no dentro de adjuntos PDF multipágina.

QR generado con arte ASCII

Variantes observadas por Barracuda en Q4 2024 sustituyen la imagen QR por un bloque de caracteres Unicode que forman visualmente el patrón del código. Como no es una imagen sino texto, los detectores basados en OCR no lo identifican como QR. Pero el usuario, al verlo en pantalla, reconoce el patrón y lo escanea igualmente.

QR con padding y ruido visual

El atacante rodea el QR con elementos gráficos (logos corporativos, marcos, texto superpuesto) que dificultan la decodificación automatizada. Las librerías de decodificación QR necesitan encontrar los tres patrones de posicionamiento del código; si están parcialmente cubiertos por ruido visual, la decodificación automática falla, pero la cámara del teléfono del usuario, más tolerante, lo decodifica sin problema.

Redirect chains con servicios legítimos

La URL codificada en el QR no apunta directamente al dominio de phishing. Utiliza cadenas de redirección a través de servicios con alta reputación:

QR → https://www.bing.com/ck/a?url=https://redirect.example.com
    → https://workers.cloudflare.com/redir/abc123
    → https://login-m365.phishing-domain[.]com/auth

Servicios abusados habitualmente: Bing redirect, Google AMP, LinkedIn redirect (lnkd.in), Cloudflare Workers, Netlify, Firebase Hosting, Vercel, acortadores como bit.ly y rebrand.ly. El dominio final se registra horas antes del ataque y se abandona después.

QR dinámicos con URLs de corta vida

Plataformas legítimas de QR (QR Tiger, Beaconstac, Flowcode) permiten crear QR dinámicos cuya URL de destino se puede cambiar después de generados. El atacante crea el QR apuntando a una URL limpia, pasa el análisis del gateway, y minutos después cambia el destino a la página de phishing.

Campañas documentadas

Campañas masivas contra Microsoft 365 (2023-2024)

La campaña más significativa fue documentada por Cofense en agosto de 2023. Más de 1.000 organizaciones recibieron emails con QR que simulaban notificaciones de MFA de Microsoft. Los emails provenían de cuentas comprometidas dentro de la misma organización o de proveedores de confianza, lo que les otorgaba un nivel adicional de legitimidad.

Las características técnicas de la campaña incluían: QR generados dinámicamente con el email de la víctima pre-rellenado en la URL, redirect a través de Bing y Salesforce, y páginas de phishing con kits AiTM que capturaban tokens MFA en tiempo real. Cofense estimó que las campañas de quishing contra M365 crecieron un 2.400% entre enero y agosto de 2023.

En 2024, Microsoft documentó campañas de quishing atribuidas al grupo Storm-1811, que combinaban QR con voice phishing (vishing) en una cadena de ataque multicanal: el email con el QR llegaba primero, seguido de una llamada telefónica que simulaba ser soporte técnico de Microsoft pidiendo al usuario que escaneara el código "por seguridad".

Ataques a parquímetros (variante física)

Entre 2022 y 2024, múltiples ciudades de Estados Unidos (Austin, San Antonio, Houston, Denver, Washington D.C.) reportaron pegatinas con códigos QR fraudulentos colocadas sobre los QR legítimos de parquímetros. Los QR falsos dirigían a páginas que imitaban la app de pago del parking, donde los usuarios introducían datos de su tarjeta de crédito.

El FBI emitió un aviso público (IC3 PSA I-011822) sobre esta variante en enero de 2022. Lo relevante para equipos SOC: aunque el vector inicial es físico, las credenciales robadas se usaban para campañas de fraude digital, y los dominios de phishing aparecían en IOCs de feeds como URLhaus y PhishTank.

QR en menús de restaurante y eventos

Ataques documentados en el Reino Unido y Alemania en 2024 utilizaban QR físicos en menús de restaurantes y badges de conferencias de seguridad (irónicamente). El QR sustituía el legítimo y dirigía a páginas que solicitaban login con Google o Microsoft para "acceder al menú" o "descargar la agenda del evento".

Variantes con vector físico

El quishing no se limita al email. Las variantes con vector físico explotan la confianza en QR colocados en el mundo real.

Pegatinas sobre QR legítimos

La técnica más simple: el atacante imprime una pegatina con su QR fraudulento y la coloca encima del QR legítimo en parquímetros, estaciones de carga de vehículos eléctricos, cartelería de transporte público o puntos de información turística. La víctima asume que el QR es legítimo porque está en un contexto de confianza.

QR en badges de eventos y conferencias

En convenciones y ferias, los badges con QR son estándar para intercambio de contactos. Un atacante puede crear badges falsos cuyo QR dirige a páginas de credential harvesting que solicitan login corporativo para "añadir el contacto a LinkedIn" o "descargar la presentación".

QR de redes WiFi falsas

Los códigos QR pueden codificar configuraciones WiFi completas (SSID, contraseña, tipo de seguridad). Un atacante coloca un QR etiquetado como "WiFi Gratis" en una cafetería o aeropuerto. Al escanearlo, el teléfono se conecta automáticamente a un punto de acceso controlado por el atacante, que puede interceptar tráfico no cifrado o presentar portales cautivos de phishing.

El formato WiFi QR sigue la especificación:

WIFI:T:WPA;S:NombreRed;P:contraseña;H:false;;

Detección técnica para equipos SOC

Decodificación de QR en el gateway de email

La defensa más directa es implementar decodificación de QR en el pipeline de análisis del SEG. Las opciones técnicas incluyen:

Librerías de decodificación: zbarimg (C), pyzbar (Python wrapper), jsQR (JavaScript), OpenCV con detección de contornos QR. Estas librerías pueden integrarse como módulo adicional en el pipeline de análisis de adjuntos.

Flujo de detección:

Identificar imágenes en el email (inline y adjuntos, incluyendo dentro de PDFs)
Aplicar decodificación QR a cada imagen
Extraer URLs decodificadas
Aplicar los mismos checks de reputación y sandbox que se aplican a URLs de texto

Reglas Sigma para detección de patrones

Reglas orientadas a detectar artefactos asociados a campañas de quishing en logs de email y proxy:

title: Email con imagen QR sospechosa y urgencia en asunto
id: 9a3c7b2e-4d5f-4e8a-b1c9-3f2a7d8e6b4c
status: experimental
description: Detecta emails con imágenes embebidas y subject lines de urgencia típicas de quishing
logsource:
  category: email
  product: office365
detection:
  selection_attachment:
    AttachmentFileType|contains:
      - 'image/png'
      - 'image/jpeg'
      - 'image/svg+xml'
  selection_subject:
    Subject|contains:
      - 'MFA'
      - 'verify'
      - 'authenticate'
      - 'expire'
      - 'security alert'
      - 'action required'
      - 'scan'
  condition: selection_attachment and selection_subject
  level: medium
  falsepositives:
    - Legitimate MFA enrollment emails
    - Marketing emails with QR codes

title: Acceso a dominio de phishing post-escaneo QR desde red móvil
id: 7f1e8d3c-2b4a-4c6e-9d0f-5a8b1c3e7f2d
status: experimental
description: Detecta accesos a dominios sospechosos desde user-agents móviles tras posible escaneo QR
logsource:
  category: proxy
detection:
  selection:
    c-useragent|contains:
      - 'iPhone'
      - 'Android'
    cs-uri-stem|contains:
      - '/auth'
      - '/login'
      - '/verify'
      - '/oauth'
    cs-host|re: '.*-m365.*|.*microsof[^t].*|.*0ffice.*'
  condition: selection
  level: high

Indicadores en logs de Microsoft 365

Los equipos SOC pueden buscar señales post-compromiso que indican que las credenciales obtenidas por quishing están siendo explotadas:

Sign-ins desde ubicaciones geográficas inusuales con user-agent móvil
Creación de reglas de reenvío de correo (inbox rules) inmediatamente después del sign-in
Acceso a SharePoint/OneDrive masivo desde nuevas IPs
Registro de nuevos métodos MFA (indicador de persistencia)
Consent grants para aplicaciones OAuth desconocidas

Defensa organizacional

Security awareness adaptado al quishing

Los programas de concienciación deben incorporar escenarios específicos de quishing:

Simulaciones con emails que contienen QR (no solo enlaces)
Formación sobre cómo verificar la URL antes de introducir credenciales (expandir la URL mostrada por la cámara, no solo mirarla de pasada)
Política explícita: "nunca escanear un QR de un email corporativo con el teléfono personal"
Comunicación clara de que la organización nunca envía QR para verificar MFA o resetear contraseñas

MDM y controles en dispositivos móviles

Para organizaciones con Mobile Device Management (MDM) desplegado:

Configurar navegadores gestionados que pasen el tráfico por el proxy corporativo incluso en dispositivos móviles
Aplicar políticas de DNS filtering en dispositivos enrolled
Implementar apps de escaneo QR corporativas que verifican la reputación de la URL antes de abrirla (soluciones como Lookout, Zimperium o Wandera incluyen esta funcionalidad)

Políticas de QR corporativas

Recomendaciones para reducir la superficie de ataque:

No incluir QR en comunicaciones corporativas internas. Si la organización no usa QR en sus emails, cualquier QR que aparezca es sospechoso por definición.
Etiquetar QR legítimos. Si es necesario usar QR (cartelería, eventos), incluir siempre la URL en texto junto al código para que el usuario pueda verificar visualmente.
Inspección física periódica. En oficinas con QR para WiFi, salas de reuniones o acceso a recursos, verificar periódicamente que los códigos no han sido sustituidos por pegatinas.

Recursos y referencias

Advisories y reportes:

FBI IC3 PSA I-011822: "Cybercriminals Tampering with QR Codes to Steal Victim Funds" (enero 2022)
HP Wolf Security Threat Insights Report Q1 2024: datos de crecimiento del 587%
Cofense Intelligence: "QR Code Phishing Campaign Targets Microsoft Credentials" (agosto 2023)
Microsoft Security Blog: "Storm-1811 abuses Microsoft Teams and QR codes" (mayo 2024)
Egress Email Security Risk Report 2025

Herramientas de detección:

zbarimg / pyzbar: decodificación de QR para integración en pipelines de análisis
SigmaHQ: reglas comunitarias para detección de quishing en SIEM
URLhaus (abuse.ch): feed de URLs de phishing, incluye dominios usados en quishing
PhishTank: base de datos colaborativa de URLs de phishing verificadas

Frameworks:

MITRE ATT&CK T1566.002 (Spearphishing Link): el quishing es una variante del delivery via enlace, aunque el enlace está codificado en un QR
MITRE ATT&CK T1598.003 (Spearphishing Link for Information): aplica cuando el objetivo es recolectar credenciales
NIST SP 800-177 Rev. 1: guía de seguridad para email que incluye recomendaciones sobre análisis de adjuntos