Estadísticas de phishing de códigos QR para estar atento en 2025.

Por: Ashley P.Actualizar: April 14, 2025

Esta recopilación de estadísticas de phishing mediante códigos QR arroja luz sobre las preocupantes amenazas de seguridad que el quishing impone a empresas y particulares.

Nadie puede negar los beneficios de utilizar un código de respuesta rápida (QR), y por mucho que nos cueste admitirlo, los criminales en línea también lo saben.

Sin embargo, si te familiarizas con las amenazas de ciberseguridad y adoptas medidas de seguridad adecuadas, puedes obstaculizar su éxito.

Con eso en mente, hemos recopilado datos clave y tendencias sobre el phishing con códigos QR a los que todos deberían estar alerta en 2025.

Aprende lo que dicen estas estadísticas, los casos del mundo real, las acciones que puedes tomar y el mejor generador de códigos QR para ayudarte a crear códigos QR infalibles.

Índice

Quishing y lo que lo hace tan peligroso
Las últimas estadísticas y tendencias de phishing de códigos QR.
Ejemplos reales de código de phishing que utilizan códigos QR.
¿Son seguros los códigos QR?
Lo que debes hacer para evitar los ataques de pishing.
Crea códigos QR seguros y confiables con QR TIGER.

Quishing y lo que lo hace tan peligroso.

El phishing es un ciberataque malicioso que tiene como objetivo robar información personal, como nombres de usuarios en línea, contraseñas e incluso información financiera, con fines nefastos.

Este tipo de ataque se basa en el engaño, lo que hace que la víctima proporcione de manera voluntaria pero sin darse cuenta estos detalles.

Hoy ha surgido una nueva técnica para estos ciberdelincuentes: quishing. No translation provided. Por supuesto, estaré encantado de ayudarte con la traducción al español.es simplemente phishing utilizando códigos QR un código de barras bidimensional que se puede escanear fácilmente con un teléfono inteligente.

¿Los códigos QR pueden ser peligrosos? En absoluto. Sin embargo, según la intención del creador, el contenido incrustado en ellos puede resultar perjudicial para otras personas.

Por eso es tan peligroso el quishing. Los actores maliciosos pueden simplemente cubrir códigos QR legítimos con falsos.

Usando los mensajes genuinos de anuncios y promociones, los estafadores y Estafa de código QR Los cerebros maestros pueden acceder a la información de muchas personas sin que nadie se dé cuenta.

Las últimas estadísticas y tendencias de phishing de códigos QR.

Los códigos QR han existido durante muchas décadas, lo que significa que quishing puede convertirse en una amenaza generalizada para la persona promedio.

Para las empresas, el phishing es una preocupación importante que puede costarles miles e incluso millones de dólares para resolver. Según datos de IBM, las infracciones como resultado del phishing de códigos QR pueden costar un promedio de $4.45 millones (USD).

Examinemos las estadísticas más recientes que demuestran esto.

Los ataques de phishing con códigos QR aumentaron a un 51%.

Según un estudio de 2023 realizado por ReliaQuest, los ataques de phishing mediante códigos QR aumentaron al 51% durante el mes de septiembre. Esto representó un aumento significativo en comparación con la cifra acumulativa de enero a agosto de 2023.

Además, el 12% de los incidentes de quishing observados implicaron esconder el código QR en un archivo PDF o JPEG adjunto a un correo electrónico.

Estos ataques lograron evadir los filtros de correo electrónico porque los correos maliciosos a menudo no tenían elementos clicables en el cuerpo del mensaje, lo cual es algo que los filtros suelen permitir.

Hubo más de 8,000 incidentes de estafas en 3 meses en 2023.

Destacando la dependencia de los códigos QR por ciberdelincuentes y estafadores, Keepnet encontró que se reportaron 8,878 incidentes de phising en el lapso de 3 meses en 2023.

Observado de junio a agosto, el primer mes fue cuando la tendencia alcanzó su punto máximo con un total de 5,063 casos reportados.

Casi el 2% de todos los códigos QR escaneados son maliciosos.

Un análisis reciente realizado por Keepnet reveló que cerca del 2% de todos los códigos QR escaneados se consideraban maliciosos. Esto incluye códigos QR de phishing, así como aquellos incrustados con enlaces a "malware" in Spanish is "malware" y virus.

Pregúntate: "¿Cuántos códigos QR son posibles de crear?" y podrías llegar a un número en los millones. La verdad es mucho más que eso, tanto que el número no podría caber en una calculadora.

Ni siquiera hemos llegado cerca de alcanzar ese número, por lo que el 2% es insignificante en el gran esquema de las cosas.

Sin embargo, los efectos de códigos QR maliciosos son demasiado perjudiciales para ignorar. A medida que este tipo de código de barras se vuelve cada vez más popular en diferentes aplicaciones, también podemos esperar que este número crezca.

Solo el 36% de los incidentes de phishing a través de códigos QR fueron identificados y reportados con precisión.

A pesar de un número impresionante de incidentes de phishing de códigos QR en las últimas estadísticas, los informes indican que solo el 36% de ellos son identificados y reportados con precisión.

Esta baja tasa de detección e informe es una brecha en la seguridad que cualquier empresa debería abordar.

El 26% de las campañas de phishing utilizan enlaces maliciosos incrustados en códigos QR.

Hay diferentes tipos de ataques de phishing, pero el método más popular es a través de correos electrónicos. Según más datos de Keepnet, el 26% de los enlaces maliciosos en campañas de phishing por correo electrónico estaban integrados en un código QR.

Con tantos enlaces incrustados en códigos QR, es evidente que los actores maliciosos están usando su efectividad para causar daño a otros.

Esto está respaldado por un aumento del 587% en incidentes de pishing en 2023. Durante este período, el 22% de todos los ataques de phishing utilizaron códigos QR.

Medio millón de correos electrónicos con códigos QR de phishing están incrustados en documentos PDF.

Este asombroso descubrimiento fue realizado por los investigadores de inteligencia de amenazas de Barracuda. Los archivos PDF normalmente tenían una o dos páginas, y los correos electrónicos en sí no tenían otros enlaces externos o documentos incrustados.

Casi el 90% de los ataques de códigos QR están dirigidos a robar información de inicio de sesión y otros datos sensibles.

Mientras hay muchas maneras creativas de causar daño con códigos QR, Keepnet afirma que aproximadamente el 89.3% de los ataques detectados se realizan para capturar datos personales.

La razón de esto puede radicar en el hecho de que los códigos QR son fáciles y convenientes de usar. Muchas personas pueden olvidar revisar el enlace antes de ser redirigidas.

Con la mayoría de los ataques de códigos QR siendo intentos de phishing, esto resalta la necesidad de contar con más conocimiento y conciencia sobre la seguridad de los códigos QR y el establecimiento de medidas de seguridad mejoradas.

Las páginas de banca en línea también son propensas a los ataques de phishing.

Se proyecta que el gasto global con códigos QR supere los $3 billones para el 2025, lo que significa que podemos esperar un aumento en intentos de quishing utilizando pagos con código QR.

Esto está respaldado por el mismo estudio de ReliaQuest, que descubrió que el 18% de los incidentes de pishing involucraban ladrones que utilizaban páginas de banca en línea para robar información.

Si estás utilizando códigos QR para pagar en tiendas físicas y en línea, verifica si hay signos de manipulación en el código QR. Si tienes la opción, pide a la tienda que te proporcione directamente su número de cuenta y el nombre completo del titular de la cuenta para transacciones seguras.

Los ejecutivos de negocios encuentran ataques de quishing 42 veces más que los empleados.

Según los datos de 2023 de Abnormal Security, los ejecutivos tienen 42 veces más probabilidades de ser blanco de correos electrónicos de "quishing" que sus empleados.

Esto nos indica que los ciberdelincuentes saben que apuntar a ejecutivos puede brindarles acceso a información sensible y rentable, así como mucho poder dentro de las empresas.

También significa que podría haber vulnerabilidades en la seguridad de una organización que los ejecutivos deben encontrar y solucionar.

Microsoft y Adobe se encuentran entre las marcas que están siendo suplantadas para phishing.

Los investigadores de inteligencia de amenazas de Barracuda también descubrieron que en la mayoría de los incidentes analizados, los ciberdelincuentes se hicieron pasar por empresas conocidas como Microsoft y Adobe.

Más de la mitad de los ataques involucraron la suplantación de Microsoft. Otros incidentes implicaron estafadores suplantando al departamento de recursos humanos de la empresa actual de la víctima.

El 56% de los correos electrónicos de quishing involucraban reinicios de autenticación de dos factores (2FA) de Microsoft.

Según un estudio de ReliaQuest en septiembre de 2023, la forma más popular de quishing implicaba enviar correos electrónicos para restablecer o habilitar la autenticación de dos factores (2FA) de Microsoft.

Este ataque fue tan frecuente que representó más de la mitad de todos los métodos utilizados en el transcurso de un año.

Las notificaciones falsas de autenticación de dos factores pueden representar una seria amenaza para tu seguridad. Por lo tanto, si recibes correos electrónicos inesperados como este, contacta de inmediato a Microsoft u otros proveedores de servicios a los que estés suscrito.

El sector energético recibe el 29% de los correos no deseados, mientras que el comercio minorista sigue siendo el más vulnerable.

Aunque cualquier industria puede estar en riesgo de sufrir ataques de quishing, parece que hay dos que son objetivos frecuentes.

El primero es la industria energética. Según los datos, el sector energético recibe el 29% de más de 1,000 correos electrónicos de phishing infectados con malware.

La segunda industria vulnerable al quishing es el sector minorista. El análisis muestra que esta industria presenta la tasa de error más alta, lo que significa que los empleados minoristas a menudo no logran detectar ni informar códigos QR maliciosos a las autoridades.

Otros sectores que son objetivos populares de campañas de phishing son manufactura, seguros, tecnología y servicios financieros.

Un alto número de incidentes dentro de estas industrias indican que dirigirse a ellas ha resultado lucrativo para muchos ciberdelincuentes.

Ejemplos reales de códigos de phishing que utilizan códigos QR.

A pesar de una baja tasa de detección e informe, aún se capturan miles de incidentes. Sin embargo, el desconocimiento de cómo pueden ocurrir estos fraudes solo ayuda a los delincuentes a obtener más información personal de las víctimas inocentes.

Hemos recopilado los principales ejemplos de phishing a través de códigos QR de los que puedes aprender y evitar al encontrarte con uno por ti mismo.

Multas de estacionamiento falsas en San Francisco

En el segundo trimestre de 2023, los ciudadanos de San Francisco recibieron multas de estacionamiento en sus vehículos.

Estos boletos tenían un código QR que dirigía a los escáneres a una página de la Agencia de Transporte Municipal de San Francisco (SFMTA) donde los conductores podían pagar sus multas inmediatamente.

Desafortunadamente, la SFMTA no utilizó los códigos QR de esta manera.

Peor aún, los estafadores replicaron el sitio web oficial de la SFMTA, haciendo que el falso parezca legítimo.

Si bien la agencia no pudo confirmar la cantidad de informes que recibieron, instaron a los conductores a verificar si una multa es real buscándola en su sitio web oficial.

Código QR infectado con malware en la tienda de té.

Otro caso de estafa de phishing utilizando un código QR fue en Singapur, donde una mujer de 60 años perdió $20,000 después de completar una encuesta en línea falsa.

Según la víctima, esta encuesta supuestamente era para obtener una taza de té con leche gratis en una tienda local de bubble tea. El código estaba pegado en la ventana de cristal de la tienda, dando la impresión de ser una promoción del propio negocio.

Lo peculiar de esta estafa es que descarga una aplicación de terceros en el teléfono tras escanear el código QR. Esta aplicación solicitará acceso al micrófono y la cámara del teléfono.

La aplicación maliciosa también pidió acceso al Servicio de Accesibilidad de Android, una aplicación Android dedicada a ayudar a los usuarios con discapacidades. El acceso a esta aplicación permite al estafador ver y controlar la pantalla de la víctima.

Según el Sr. Beaver Chua, jefe del departamento contra el fraude del Banco OCBC, el estafador esperaría a que la víctima utilizara su aplicación de banca móvil y anotaría sus credenciales de inicio de sesión y contraseña.

Con esta información, el estafador solo tiene que tomar el control del teléfono en el momento adecuado y transferir dinero de la cuenta de la víctima.

Códigos QR para robar credenciales en la Universidad de Washington.

En septiembre de 2023, estudiantes y profesores de la Universidad de Washington en St. Louis (WUSTL) se convirtieron en objetivos de ciberdelincuentes que utilizaban códigos QR de phishing.

Según una publicación en un blog, la campaña de phishing utilizaba correos electrónicos con un código QR malicioso adjunto. Al escanearlo, el código QR dirigía a los miembros de la comunidad a una falsa página de inicio de sesión de WUSTL Key.

Pero, ¿cómo convencería el estafador a los usuarios de escanear el código? Haciéndoles creer que sus cuentas serían canceladas si no lo hacen.

Debido a que parecía un correo electrónico oficial, es bastante fácil engañar a los profesores y estudiantes de WUSTL que no sospechan para que mantengan sus cuentas escaneando el código.

Afortunadamente, el equipo de seguridad de la información de la universidad informó a la comunidad sobre la estafa, evitando que más personas cayeran en ella.

Código QR malicioso que cubre uno legítimo en Teesside, Inglaterra.

En noviembre del mismo año, se lanzó otro ejemplo de código de phishing en la Estación de Thronaby en Teesside, Inglaterra. Al igual que el código QR de la encuesta de la tienda de té, resultó en al menos una víctima que perdió miles de sus ganados con esfuerzo dinero.

El código QR fue colocado sobre uno auténtico en el estacionamiento de la estación. Cuando la víctima, una mujer de 71 años que deseaba permanecer en el anonimato, escaneó uno de estos. códigos QR falsos Para pagar el estacionamiento, sin darse cuenta ofreció su información bancaria a los estafadores.

Su banco bloqueó su transacción. Lamentablemente, los criminales se hicieron pasar por personal del banco y la convencieron de sacar un préstamo de £7,500.

Después, cambiaron su información bancaria, pidieron nuevas tarjetas, acumularon deudas que resultarían en una pérdida total de £13,000 para la víctima y crearon una cuenta bancaria en línea.

Según VirginMoney, el préstamo de la víctima eventualmente sería cancelado mientras que todas las transacciones fraudulentas serían reembolsadas.

El código QR del correo electrónico falso de Microsoft para la verificación en dos pasos (2FA) que está por caducar.

Esta estafa es un ejemplo claro de cómo la industria energética es blanco de ataques de phising.

En el mismo mes que el código QR falso de Teesside, Microsoft envió un correo electrónico a una empresa de la industria industrial y energética. El correo electrónico indicaba que el destinatario... autenticación de dos factores El (2FA) estaba a punto de caducar.

Según el correo electrónico, renovar esta medida de seguridad habría requerido escanear el código QR adjunto. Debido a que Microsoft no envía este tipo de correo electrónico, estaba claro que este correo electrónico pretendía recopilar credenciales de la empresa.

La naturaleza fraudulenta del correo electrónico también fue obvia para los empleados observadores gracias a los diversos errores gramaticales encontrados en el texto. Ni siquiera un generador de códigos QR con integración de logotipo puede salvar eso.

Códigos QR de DocuSign ilegítimos

DocuSign es la plataforma número uno para firmas electrónicas. Desafortunadamente, esto también lo ha convertido en un favorito entre los ciberdelincuentes, especialmente aquellos que prefieren usarlo para llevar a cabo estafas de phishing.

Cuando un actor malicioso imita la plataforma de DocuSign para lanzar ataques de phishing, generalmente copian comunicaciones oficiales de la empresa para que sus correos electrónicos fraudulentos parezcan genuinos.

Y dado que los correos electrónicos de DocuSign pueden ser personalizados para adaptarse a la marca que utiliza sus servicios, se vuelve más fácil ocultar las verdaderas intenciones del estafador.

Los códigos QR pueden profundizar el engaño al "conceder" acceso al documento que necesita ser firmado. En realidad, el código QR redirige a los escáneres a un sitio web malicioso que captura cualquier información personal ingresada.

Este método puede afectar seriamente la confianza de las personas en los códigos QR, haciendo que se pregunten, "¿Son seguros los códigos QR?"

Código QR de Malicious OneService Lite en Singapur

A principios de 2023, la Oficina de Servicios Municipales (MSO) de Singapur comenzó a recibir informes sobre un código QR falso que imitaba al código QR legítimo de OneService Lite.

OneService es una plataforma lanzada por el gobierno de Singapur que ayuda a los ciudadanos a enviar sus comentarios a un único portal. Esto facilita el proceso de retroalimentación ya que los ciudadanos preocupados no necesitan buscar a qué agencia o consejo municipal contactar.

Lamentablemente, el código QR falso lleva a las personas a un formulario de opinión donde deben enviar su información personal.

Esto llevó al MSO a iniciar investigaciones sobre el asunto. Ellos y varios consejos municipales también iniciaron verificaciones de cada código QR de OneService Lite y aconsejaron al público verificar la dirección web del código QR antes de enviar cualquier información.

¿Son seguros los códigos QR?

Con todas estas estadísticas y ejemplos reales de quishing, es fácil pensar que los códigos QR son demasiado peligrosos para usar. Pero eso no podría estar más lejos de la verdad.

Si bien los códigos QR pueden proporcionar acceso a enlaces maliciosos, no hacen daño a las personas. Al igual que una puerta, su único propósito es permitirte entrar, incluso si la "habitación" a la que estás entrando puede ser peligrosa.

Con una generador de códigos QR dinámicos En línea, puedes garantizar códigos QR seguros y confiables. Los mejores a menudo utilizan las herramientas de seguridad más avanzadas, como la autenticación de dos factores, auditorías internas y monitoreo las 24 horas al día, los 7 días de la semana.

¿De qué otra manera? código QR seguro ¿Y estar seguro? Mediante otra función dinámica llamada protección por contraseña. Los códigos QR dinámicos son más sofisticados, ya que incluyen una contraseña.

Si la contraseña que conoces no funciona, se te impedirá acceder al contenido del código QR. Cuando se trata de códigos QR falsos, esto te mantendrá seguro.

Los escáneres de códigos QR también muestran vistas previas de los enlaces incrustados en los códigos QR, lo cual es otra capa de seguridad que puedes utilizar para evitar ataques maliciosos.

Para identificar un enlace seguro, busca un símbolo de "candado" al previsualizarlo. Este símbolo significa que el enlace es. encriptado y protegido por una certificación de Capa de Conexión Segura (SSL).

Lo que debes hacer para evitar los ataques de 'quishing'.

Para evitar caer víctima de los ataques de quishing, ten en cuenta lo siguiente antes de escanear códigos QR:

Evita escanear los códigos QR ubicados en lugares aleatorios o sospechosos.
Si estás en un área pública, verifica señales de manipulación en el código QR.
Busca indicadores comunes de estafas en correos electrónicos que incluyan códigos QR (mala gramática, errores tipográficos, imágenes borrosas).
Si el código QR solicita información sensible, considera si es necesario obtener lo que se supone que el código debe darte.
Siempre verifica la dirección URL que te muestre tu cámara o escáner de códigos QR después de escanear un código QR. Si el enlace parece sospechoso, no accedas a él.

Crea códigos QR seguros y confiables con QR TIGER.

Si estás considerando usar códigos QR en tu vida personal o profesional, siempre debes asegurarte de que los códigos que generes sean seguros.

Hemos cubierto cómo hacer eso. Lo que necesitas hacer a continuación es encontrar una plataforma de códigos QR segura, fiable y de confianza.

El sistema de QR TIGER cumple con las regulaciones de GDPR y CCPA, y los estándares de seguridad en ISO-27001, brindándote códigos QR seguros, editables y rastreables.

También ofrecemos una gran variedad de otras funciones: protección de contraseña para tus códigos QR y autenticación de dos factores para tu cuenta. Con estos, puedes estar seguro de que tus escaneos están protegidos con nosotros.

Armado con estadísticas clave de phishing de códigos QR y ejemplos, tus códigos QR serán seguros de usar y confiados por todos.