El quishing es el phishing que utiliza un código QR como cebo en lugar de un enlace visible. El nombre combina QR con phishing, y describe una técnica sencilla pero muy eficaz: el atacante sustituye la URL clásica por una imagen que el destinatario escanea con el móvil sin poder leer previamente a dónde apunta. Ese salto del correo o del papel al teléfono personal es precisamente lo que rompe casi todas las defensas que una organización tiene desplegadas alrededor del correo electrónico.
Lo esencial
- El quishing es phishing por código QR: el enlace malicioso viaja dentro de una imagen que el usuario escanea con el móvil.
- El vector funciona porque el QR es una imagen, no un enlace, y muchos filtros de correo históricos no decodifican su contenido.
- Al escanear con el teléfono personal, la víctima abandona el perímetro corporativo (EDR, proxy web, filtrado DNS) y navega desde una red y un dispositivo sin controles.
- Los señuelos más habituales en 2026 son parquímetros y restaurantes con pegatinas superpuestas, facturas PDF con QR y falsos flujos de consentimiento o device code en Microsoft 365.
- La defensa robusta combina MFA resistente a phishing (FIDO2/WebAuthn), gateways de correo que decodifican QR, MDM en el móvil, formación y simulación controlada de quishing.
Qué es el quishing
El quishing (contracción de QR y phishing) es una variante de ingeniería social en la que el atacante entrega la URL fraudulenta codificada en un código QR (Quick Response) en vez de en un hipervínculo. El objetivo es el mismo que en cualquier phishing: robar credenciales, capturar una sesión autenticada, instalar malware en el dispositivo o forzar una acción que la víctima no haría en frío. Lo que cambia es el envoltorio. Un QR es una matriz de puntos que codifica texto, casi siempre una dirección web, y el ser humano no puede leerla sin una cámara. Esa opacidad es la ventaja del atacante.
El quishing aparece como la duodécima variante en nuestra guía de tipos de phishing, pero merece tratamiento propio porque combina dos debilidades que ninguna otra técnica reúne a la vez: evade los controles del correo y traslada a la víctima a un dispositivo personal fuera del alcance del equipo de seguridad.
Cómo funciona un ataque de quishing
La cadena de un ataque de quishing es corta y por eso resulta rentable. El atacante genera un QR que apunta a una página de captura (a menudo un proxy Adversary-in-the-Middle tipo evilginx2, EvilProxy o Tycoon 2FA), lo incrusta en un soporte creíble y espera a que la víctima escanee. En la práctica se observan cuatro vectores dominantes.
QR físico sobre un cebo legítimo
El clásico de calle. El atacante imprime pegatinas con su QR y las superpone sobre códigos legítimos en parquímetros, cartas de restaurante, carteles de puntos de recarga o TPV. El usuario cree pagar el aparcamiento o ver el menú y acaba en una pasarela de pago falsa que captura tarjeta y credenciales. Es barato, presencial y no deja rastro en ningún log corporativo.
QR incrustado en el correo
El atacante envía un correo con el QR embebido como imagen (PNG o JPG) y un pretexto de urgencia: "revalida tu buzón", "firma este documento", "tu MFA caduca hoy". Como el enlace viaja dentro de un píxel, los motores tradicionales que reescriben y reputan URLs no tienen texto que analizar. El destinatario, además, suele escanear con su móvil personal, con lo que la navegación posterior ocurre fuera del proxy web y del filtrado DNS de la empresa.
Facturas y documentos PDF con QR
Variante muy usada contra departamentos financieros. Una supuesta factura, nómina o notificación de la Administración llega en PDF con un QR para "verificar el pago" o "descargar el justificante". El adjunto pasa el sandbox porque el PDF en sí no ejecuta nada: la carga maliciosa está a un escaneo de distancia, en un dominio que se resolverá desde el teléfono.
Señuelos de consentimiento y device code en Microsoft 365
El vector más sofisticado de 2025-2026. El QR no apunta a un dominio sospechoso, sino a una URL legítima de Microsoft: la página de consentimiento OAuth o el flujo de device code (microsoft.com/devicelogin). El usuario escanea, introduce el código que le muestra el atacante y autentica contra el tenant real. Microsoft emite los tokens y el atacante, que inició el flujo, se queda con una sesión válida. La campaña de Storm-2372 documentada por Microsoft en 2025 explotó exactamente este device code phishing. Como el destino es un dominio de Microsoft auténtico, SPF, DKIM, DMARC y la reputación de URL dan todos verde.
Quishing frente a phishing, smishing y vishing
Las cuatro variantes comparten raíz de ingeniería social pero se defienden de forma distinta. Esta tabla resume las diferencias operativas.
| Variante | Canal | Cebo | Qué explota | Defensa clave |
|---|---|---|---|---|
| Phishing | Correo | Enlace o adjunto | Filtros que no bloquean todo | Email security + MFA FIDO2 |
| Smishing | SMS / apps de mensajería | Enlace en texto | Poca previsualización en móvil | Filtrado de operadora + formación |
| Vishing | Llamada de voz | Persuasión en directo | Verificación débil en help desk | Callback y verificación fuera de banda |
| Quishing | QR (correo, papel, PDF) | Imagen con URL oculta | El filtro no lee la imagen | Gateway que decodifica QR + MDM + FIDO2 |
La lectura importante es que el quishing hereda el objetivo del phishing (robo de sesión y credenciales), pero comparte con el vishing el hecho de operar en un canal donde los controles técnicos tradicionales tienen poca visibilidad.
Por qué los gateways de correo lo pasan por alto
Un secure email gateway clásico inspecciona tres cosas: la cabecera (SPF, DKIM, DMARC), el texto y los enlaces (reescritura y reputación de URL) y los adjuntos (sandbox). El quishing esquiva las tres. La URL no está en el cuerpo como texto sino dentro de una imagen, por lo que no hay enlace que reputar ni reescribir. El adjunto, cuando existe, es un PDF inerte que no dispara el sandbox. Y si el QR resuelve a un dominio legítimo, como en el device code phishing, ni siquiera la reputación ayudaría.
La respuesta del mercado ha sido añadir decodificación de imágenes al filtro. Microsoft Defender for Office 365 incorporó detección de QR en 2024, y Proofpoint, Abnormal o Mimecast han seguido el mismo camino con OCR y extracción del QR previa a la reputación de la URL contenida. Es una mejora necesaria, pero no completa: los atacantes ya rotan dominios recién registrados, fragmentan el QR o lo incrustan en un PDF dentro de otro adjunto para dificultar la extracción automática.
Vectores reales 2023-2026
El quishing dejó de ser anecdótico en 2023, cuando varios proveedores reportaron campañas masivas contra Microsoft 365 con QR en correos de "actualización de seguridad". A lo largo de 2024 se consolidó el uso de pegatinas físicas en parquímetros de ciudades europeas y norteamericanas, con víctimas que introducían datos de tarjeta en pasarelas clonadas. En 2025, el device code phishing con QR pasó a primera línea tras la actividad de Storm-2372 contra objetivos gubernamentales y corporativos. El patrón de fondo se repite: cada vez que una defensa madura alrededor del enlace de texto, el QR ofrece un camino que esa defensa todavía no cubre.
Cómo protegerse del quishing
La defensa eficaz asume que algún QR malicioso llegará y que algún usuario lo escaneará. El objetivo no es solo bloquear la imagen, sino que un escaneo no se traduzca en compromiso.
Defensa técnica
- MFA resistente a phishing (FIDO2/WebAuthn, passkeys, llaves hardware). Es la medida de mayor impacto. Aunque el usuario escanee y teclee la contraseña en la página falsa, la firma WebAuthn queda ligada al dominio real y el proxy AitM no puede reutilizarla. SMS, TOTP y push notification no cierran este vector.
- Acceso condicional y device compliance. Exigir dispositivo gestionado y cumplidor para autenticar corta el device code phishing, porque el móvil del atacante no cumple la política.
- Gateway de correo con decodificación de QR. Defender for O365, Proofpoint, Abnormal o Mimecast con extracción de QR y reputación de la URL contenida.
- MDM y protección en el móvil. El teléfono que escanea debería tener MDM y un motor de reputación de URL (Microsoft Defender for Endpoint móvil, Jamf, Lookout) que bloquee el destino antes de que cargue.
- Escáneres que previsualizan la URL. Aplicaciones de cámara que muestran el dominio completo antes de abrir, para que la persona pueda verificar a dónde va.
Defensa organizativa y formación
Cualquier programa de concienciación serio debe incluir el QR como categoría propia, no como nota al pie. La regla enseñable es simple: un QR merece la misma desconfianza que un enlace, y un QR físico exige comprobar que no hay una pegatina superpuesta. Nuestra guía sobre cómo evitar el phishing desarrolla el marco de formación y respuesta que aplica también al quishing.
Simulación de quishing controlada en Red Team
La forma de medir la exposición real es simularla. En un ejercicio Red Team se genera un QR de laboratorio (por ejemplo con qrencode -o cebo.png "https://portal-interno.lab/login"), se distribuye por correo o en soporte físico y se mide con una plataforma tipo GoPhish quién escanea, quién teclea credenciales y quién reporta. Con MFA FIDO2 desplegado, el ejercicio demuestra que un escaneo no basta para comprometer la cuenta. Toda simulación exige autorización formal de dirección, mensaje educativo para quien cae y ausencia de sanción individual, igual que en cualquier campaña de phishing simulado.
Encaje con compliance
La defensa frente al quishing encaja en los mismos marcos que el resto del phishing: NIS2 (artículo 21, concienciación y formación, incluida la del órgano de dirección), DORA (artículo 11, programas periódicos), ISO 27001:2022 (controles 5.1, 6.3 y 7.3) y ENS. La autenticación resistente a phishing conecta además con NIST SP 800-63B, que sitúa FIDO2/WebAuthn en el nivel de garantía más alto frente a la suplantación de canal.
Preguntas frecuentes
¿Qué es el quishing?
El quishing es el phishing que emplea un código QR en lugar de un enlace visible. El atacante codifica una URL maliciosa en una imagen que la víctima escanea con el móvil, sin poder leer el destino de antemano. El fin es el habitual del phishing: robar credenciales, capturar una sesión autenticada o instalar malware.
¿En qué se diferencia el quishing del phishing tradicional?
En el envoltorio y en el dispositivo. El phishing clásico entrega un enlace de texto que los filtros pueden analizar; el quishing lo esconde dentro de una imagen que muchos filtros no decodifican. Además, el usuario suele escanear con su teléfono personal, saliendo del proxy web, el EDR y el filtrado DNS corporativos.
¿Por qué el filtro de correo no detecta el quishing?
Porque inspecciona texto, enlaces y adjuntos, y el QR es una imagen sin enlace que analizar. Si además el QR apunta a un dominio legítimo, como en el device code phishing de Microsoft 365, la reputación de URL tampoco lo marca. Los gateways modernos añaden decodificación de QR, pero no cubren todos los casos.
¿Cómo se defiende una empresa del quishing?
Con MFA resistente a phishing (FIDO2/WebAuthn) como capa principal, acceso condicional con dispositivo gestionado, gateway de correo que decodifique QR, MDM con reputación de URL en el móvil, y formación que trate el QR como categoría propia. La simulación controlada mide la exposición real.
¿Se puede simular quishing de forma legal?
Sí, con las mismas garantías que cualquier phishing simulado: autorización formal de dirección, información previa a la plantilla sobre la existencia del programa, mensaje educativo para quien escanea y confidencialidad de los resultados individuales, sin sanción por caer.
Recursos relacionados
- Tipos de phishing: las 12 variantes donde el quishing es la número 12.
- Cómo evitar el phishing: marco de formación y respuesta aplicable al QR.
- Qué es vishing: la variante por voz, con la que el quishing comparte baja visibilidad técnica.
- Qué es Man in the Middle: el proxy AitM que muchos QR de quishing sirven detrás.
- Qué es ingeniería social: la disciplina que engloba todo el phishing.
Defensa frente al quishing en Secra
En Secra tratamos el quishing dentro del programa de resistencia al phishing: revisión de la autenticación (paso a FIDO2/WebAuthn para cuentas privilegiadas), configuración del gateway de correo con decodificación de QR, hardening de acceso condicional para cerrar el device code phishing, y ejercicios Red Team con vector de quishing controlado para medir empíricamente detección, reporte y respuesta. Si tu organización nunca ha probado su exposición a un QR malicioso o sigue confiando en MFA por SMS o TOTP para cuentas críticas, escríbenos a través de contacto y planifiquemos una evaluación adaptada.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

