El QRishing, una modalidad de fraude digital que utiliza códigos QR maliciosos, se convirtió en una de las amenazas cibernéticas de mayor crecimiento y menor detección en 2025 y se prevé que aumente para 2026.
De acuerdo con especialistas en ciberseguridad y el Gabinete de Seguridad, a diferencia del phishing tradicional, este método no llega por correo electrónico, sino que por medio de un ticket con impresiones de sellos del Gobierno de México y un código QR, se simula una multa vehicular que se deja en el parabrisas de los autos estacionados.
QRishing, una infiltración rápida y sutil
El QRishing es una forma de phishing que explota la confianza que generan los códigos QR. Al escanearlos con un teléfono celular, la víctima puede ser redirigida a sitios web falsos que imitan portales oficiales, descargar malware o entregar credenciales bancarias y corporativas sin saberlo.
Las autoridades tienen registro de que los delincuentes colocan estos códigos en:
- Carteles
- Folletos
- Credenciales de eventos
- Oficinas
- Restaurantes
- Señaléticas legítimas, sustituyendo el QR original por uno fraudulento
QRishing e Inteligencia Artificial, una técnica de ingeniería social
De acuerdo con análisis recientes de la Policía Cibernética, los atacantes ya comienzan a combinar el QRishing con Inteligencia Artificial y técnicas de ingeniería social para aumentar su efectividad.
Entre las prácticas más comunes se encuentran:
- QR pegados sobre códigos legítimos en oficinas, ferias, edificios públicos o comercios
- URLs acortadas u ocultas, que impiden verificar visualmente el destino real
- Redirecciones invisibles, que primero muestran una página aparentemente segura y luego llevan a un sitio malicioso
- Formularios falsos que simulan accesos a WI-FI, reservas de salas o portales internos
- Uso de dispositivos personales, lo que evade controles de seguridad corporativos
- Recientemente, QR impresos en supuestas multas que redireccionan a una página falsa del Gobierno de México
En varios casos documentados, empleados y visitantes han sido víctimas tras escanear códigos en kits de bienvenida, reservas internas o empaques de productos tecnológicos.
Sectores más vulnerables
Informes de ciber inteligencia señalan que los ataques de QRishing y phishing asistido por Inteligencia Artificial afectan principalmente a sectores estratégicos:
- Banca y seguros
- Salud
- Energía e infraestructuras críticas
- Administración pública
En estos entornos, la confianza en procesos internos y la urgencia operativa facilitan el engaño.
Recomendaciones de las autoridades
Ante el aumento de estos ataques, organismos de ciberseguridad y autoridades recomiendan:
- Desconfiar de códigos QR colocados en espacios públicos o sin contexto claro
- Verificar la URL antes de ingresar datos tras escanear un QR
- Evitar escanear códigos que soliciten usarlos, contraseñas o datos bancarios
- No descargar aplicaciones o archivos desde enlaces abiertos por QR
- En empresas, estandarizar y señalizar los códigos QR oficiales
- Capacitar de forma continua a empleados sobre QRishing, phishing y vishing
- Implementar doble verificación para accesos, pagos o solicitudes sensibles
Autoridades también recomiendan reportar cualquier intento sospechoso y mantener actualizados los sistemas de seguridad en dispositivos móviles.
