Los delincuentes digitales han encontrado una nueva puerta de entrada a las organizaciones. Esta vez no se trata de un correo sospechoso lleno de faltas de ortografía ni de un enlace acortado extraño. El gancho es mucho más discreto y cotidiano. El fraude con códigos QR se ha convertido en una de las variantes de phishing con mayor crecimiento en entornos corporativos, aprovechando la confianza que generan estos elementos visuales en oficinas, restaurantes, parkings y edificios públicos.
El uso masivo de códigos QR durante los últimos años, impulsado por la digitalización de menús, accesos y pagos sin contacto, ha abierto un escenario perfecto para el engaño.
Según distintos informes de ciberseguridad publicados en 2025, las campañas que utilizan códigos QR maliciosos han aumentado de forma significativa en empresas medianas y grandes, especialmente en sectores como logística, retail y servicios financieros.
Cómo funciona el nuevo engaño
El mecanismo es sencillo y eficaz. En lugar de enviar un enlace directo en un correo electrónico, los atacantes incluyen una imagen que contiene códigos QR. Al escanearla con el móvil, la víctima es redirigida a una página fraudulenta que imita el portal corporativo, el acceso a Microsoft 365 o una plataforma de firma digital.
Como el enlace no es visible a simple vista, los filtros tradicionales de correo tienen más dificultades para detectarlo.
En otras ocasiones, los delincuentes colocan pegatinas físicas con códigos QR sobre señalética legítima en oficinas o espacios compartidos. El empleado escanea el código pensando que accede a información interna, a un sistema de reserva de salas o a instrucciones logísticas, cuando en realidad está facilitando sus credenciales a un servidor controlado por los atacantes.
Este método aprovecha una debilidad humana básica. Las personas han aprendido a desconfiar de enlaces sospechosos, pero rara vez cuestionan los códigos QR porque no pueden ver la dirección completa antes de acceder. Esa opacidad se convierte en el principal aliado del ciberdelincuente.
Por qué las empresas son el objetivo
El impacto del fraude con códigos QR no se limita al robo de contraseñas personales. En entornos empresariales, la captura de credenciales puede dar acceso a correos corporativos, bases de datos de clientes o sistemas financieros. Una vez dentro, el atacante puede desplegar ataques de tipo Business Email Compromise, modificar órdenes de pago o extraer información confidencial.
Algunas compañías han detectado campañas en las que se enviaban supuestas notificaciones internas para actualizar políticas de recursos humanos o validar dispositivos móviles. El mensaje incluía códigos QR que supuestamente facilitaban el acceso desde el smartphone. En realidad, dirigían a páginas que replicaban el entorno visual de la empresa.
La sofisticación es tal que las webs falsas incorporan certificados digitales y diseños idénticos a los originales. En un contexto de teletrabajo y uso intensivo de móviles, el empleado escanea el código y teclea sus datos sin sospechar que está alimentando una base de datos criminal.
Datos que explican el auge
El crecimiento del fraude con códigos QR está vinculado al aumento de su uso en pagos digitales y autenticación. En Europa, el volumen de transacciones mediante códigos QR ha crecido de forma constante, y muchas empresas han integrado esta tecnología en procesos internos. Esa normalización facilita que los atacantes pasen desapercibidos.
Además, los sistemas de seguridad perimetral no siempre analizan imágenes incrustadas en correos electrónicos con la misma profundidad que los enlaces textuales. Esto crea un vacío técnico que los delincuentes explotan. Los expertos advierten que los códigos QR pueden convertirse en un vector habitual de entrada si no se refuerzan las políticas de verificación.
En campañas recientes se han detectado dominios registrados apenas horas antes del envío masivo de correos con códigos QR. Esa rapidez dificulta la inclusión en listas negras antes de que se produzcan las primeras víctimas.
Cómo reducir el riesgo en la empresa
La prevención pasa por combinar tecnología y formación. Las herramientas de seguridad deben incorporar análisis de imágenes y detección de redirecciones sospechosas. Al mismo tiempo, es fundamental que los empleados comprendan que los códigos QR no son intrínsecamente seguros.
Las organizaciones más avanzadas están implementando autenticación multifactor resistente al phishing, de modo que aunque el usuario introduzca su contraseña en una página falsa, el acceso no se complete sin un segundo factor seguro. También se recomienda limitar el uso de códigos QR en comunicaciones internas y verificar físicamente cualquier etiqueta instalada en espacios comunes.
En definitiva, el fraude con códigos QR demuestra que el phishing evoluciona al ritmo de la tecnología y de los hábitos digitales. Lo que comenzó como una herramienta cómoda para simplificar procesos se ha convertido en un canal más para el engaño. La clave está en asumir que cualquier enlace oculto, incluso detrás de una imagen aparentemente inocua, puede ser la puerta de entrada a un incidente de seguridad de gran alcance.
