Estadísticas alarmantes de phishing de códigos QR que debes conocer en 2026

Por: Ashley P.Actualizar: May 06, 2026

Esta recopilación de estadísticas de phishing de códigos QR arroja luz sobre las preocupantes amenazas de seguridad que el quishing impone a las empresas y particulares.

Nadie puede negar los beneficios de usar un código de respuesta rápida (QR), y por mucho que lo odiemos admitir, los criminales en línea también lo saben.

Pero, si te familiarizas con las amenazas de ciberseguridad y adoptas medidas de seguridad correspondientes, puedes obstaculizar su éxito.

Con eso en mente, hemos recopilado datos clave y tendencias sobre el phishing de códigos QR de los que todos deberían estar alerta en 2026.

Aprende lo que dicen estas estadísticas, los casos del mundo real, las acciones que puedes tomar y el mejor generador de códigos QR para ayudarte a crear códigos QR a prueba de errores.

Tabla de Contenidos

¿Qué hace que el quishing (phishing de códigos QR) sea tan peligroso?
Las últimas estadísticas y tendencias sobre el phishing con códigos QR
Ejemplos de código de phishing en la vida real utilizando códigos QR
¿Son seguros los códigos QR?
Qué debes hacer para evitar los ataques de phishing
Cree códigos QR seguros y confiables con QR TIGER

¿Qué hace que el quishing (phishing de códigos QR) sea tan peligroso?

El phishing es un ciberataque malicioso que tiene como objetivo robar información personal, como nombres de usuario en línea, contraseñas e incluso información financiera, con fines maliciosos.

Este tipo de ataque se basa en el engaño, lo que hace que la víctima proporcione voluntariamente pero sin saberlo estos detalles por sí misma.

Hoy, ha surgido una nueva técnica para estos ciberdelincuentes: el quishing.

Quishing es el acto de phishing utilizando códigos QR códigos de barras bidimensionales que una persona puede escanear fácilmente utilizando un teléfono inteligente.

¿Los códigos QR pueden ser peligrosos? En absoluto. Sin embargo, dependiendo del motivo del creador, el enlace o contenido incrustado en su interior puede ser perjudicial para otros.

Es aún más difícil de identificar. Estafa de código QR puede ser transmitido a través del correo electrónico, llevando a los destinatarios a un documento con un código QR que redirige a un sitio malicioso que finalmente roba su información.

Esta es la razón por la que el quishing es tan peligroso. Los actores malintencionados simplemente pueden cubrir códigos QR legítimos con falsos, e incluso pueden apuntar a ansiedades como cómo Los préstamos afectan la calificación crediticiapara persuadir a los destinatarios a escanearlos.

Según Hoxhunt, los incidentes de quishing están aumentando un 25% año tras año.

Las últimas estadísticas y tendencias sobre el phishing con códigos QR

Los códigos QR son herramientas prácticas para compartir información, pero con ciberataques como el quishing, un código QR malicioso representa una seria amenaza para la persona promedio.

Para las empresas, el phishing es una preocupación importante que puede costarles miles o incluso millones de dólares para solucionarlo. Para ponerlo en contexto, datos de IBM indican que las brechas como resultado del phishing con códigos QR pueden costar $4.45 millones (USD) en promedio.

Si quieres evitar convertirte en un objetivo, es importante que familiarízate con la ciberseguridad y entender cómo suelen desarrollarse estos ataques.

Examinemos las últimas estadísticas que prueban esto.

Quishing es el vector de ataque de más rápido crecimiento a principios de 2026.

Durante el primer trimestre de 2026, Microsoft Threat Intelligence y el equipo de investigación de seguridad de Microsoft Defender descubrieron que los correos electrónicos de phishing representaron el 78% de la actividad total de correo electrónico, con los códigos QR de phishing viendo un aumento en el uso malicioso.

En enero, 7.6 millones de estos ataques utilizaron códigos QR para comprometer correos electrónicos. Esta cifra aumentaría a 18.7 millones en marzo, marcando un aumento del 146% en el uso.

Muchos de estos códigos QR se encuentran en archivos adjuntos a correos electrónicos. Según los datos, el 65% de los correos electrónicos con archivos adjuntos en enero utilizan archivos PDF para distribuir códigos QR maliciosos. Por otro lado, los archivos DOC y DOCX se utilizaron en el 31% de los correos electrónicos de phishing en el mismo mes.

Estos números cambiarían en marzo, ya que los archivos PDF con códigos QR vieron un aumento del 70% en su uso, mientras que el uso de archivos DOC y DOCX disminuyó al 24%.

Los atacantes también han recurrido a adjuntar códigos QR directamente en el cuerpo del correo electrónico, un método que experimentó un aumento del 336% en marzo. Sin embargo, los datos también muestran que este vector solo representa el 5% de todos los intentos de phishing detectados.

El aumento en los intentos de quishing resalta un desafío en los sistemas actuales de seguridad de correo electrónico. Aunque son efectivos para detectar amenazas de texto y enlaces, los atacantes se han dado cuenta de que no son tan confiables para detectar enlaces de phishing en contenido basado en imágenes como códigos QR.

Los ataques de phishing mediante códigos QR aumentaron un 51%

Según un estudio de ReliaQuest, los ataques de phishing mediante códigos QR aumentaron al 51% en septiembre de 2023. Esto representó un aumento significativo en comparación con la cifra acumulada de enero a agosto de 2023.

Además, el 12% de los incidentes de quishing observados implicaron ocultar el código QR en un archivo PDF o JPEG adjunto a un correo electrónico.

Estos ataques lograron evadir los filtros de correo electrónico porque el correo malicioso a menudo no tenía elementos clicables en el cuerpo del mensaje, lo cual los filtros suelen permitir.

Hubo más de 8,000 incidentes de pesca excesiva en 3 meses en 2023.

Destacando la dependencia de los códigos QR por parte de ciberdelincuentes y estafadores, Keepnet encontró que se reportaron 8,878 incidentes de quishing en el lapso de 3 meses en 2023.

Observado de junio a agosto, el primer mes fue cuando la tendencia alcanzó su punto máximo con un total de 5,063 casos reportados.

Casi el 2% de todos los códigos QR escaneados son maliciosos

Un análisis reciente de Keepnet reveló que cerca del 2% de todos los códigos QR escaneados se consideraban maliciosos. Esto incluye códigos QR de phishing, así como aquellos incrustados con enlaces a malware y virus.

Pregúntate a ti mismo, "¿Cuántos códigos QR son posibles de crear?" y podrías llegar a un número en los millones. La verdad es mucho más que eso, tanto que el número no cabría en una calculadora.

No hemos llegado ni siquiera cerca de alcanzar ese número, así que el 2% es insignificante en el gran esquema de las cosas.

Aún así, los efectos de códigos QR maliciosos Son demasiado perjudiciales para ignorar. A medida que este tipo de código de barras se vuelve cada vez más popular en diferentes aplicaciones, también podemos esperar que este número crezca.

Solo el 36% de los incidentes de phishing de códigos QR fueron identificados y reportados con precisión.

A pesar de un número alarmante de incidentes de phishing en las últimas estadísticas de phishing de códigos QR, los informes indican que solo el 36% de ellos son identificados y reportados con precisión.

Esta baja tasa de detección e informe es una brecha en la seguridad que cualquier empresa debería abordar.

26% de las campañas de phishing utilizan enlaces maliciosos incrustados en códigos QR

Hay diferentes tipos de ataques de phishing, pero el método más popular es a través de correos electrónicos. Según más datos de Keepnet, el 26% de los enlaces maliciosos en campañas de phishing por correo electrónico estaban incrustados en un código QR.

Con tantos enlaces incrustados en códigos QR, es obvio que los actores maliciosos están utilizando su efectividad para causar daño a otros.

Esto está respaldado por un aumento del 587% en incidentes de quishing en 2023. Durante este período, el 22% de todos los ataques de phishing utilizaron códigos QR.

Medio millón de correos electrónicos con códigos QR de phishing están incrustados en documentos PDF.

Este asombroso descubrimiento fue realizado por los investigadores de inteligencia de amenazas de Barracuda. Los archivos PDF normalmente tenían una o dos páginas, y los correos electrónicos en sí no tenían otros enlaces externos o documentos incrustados.

Casi el 90% de los ataques de códigos QR tienen como objetivo robar información de inicio de sesión y otros datos sensibles.

Mientras hay muchas formas creativas de causar daño con códigos QR, Keepnet afirma que aproximadamente el 89.3% de los ataques detectados se realizan para capturar datos personales.

La razón de esto puede radicar en el hecho de que los códigos QR son fáciles y convenientes de usar. Muchas personas pueden olvidar verificar el enlace antes de ser redirigidas.

Con la mayoría de los ataques de códigos QR siendo intentos de phishing, esto resalta la necesidad de contar con más conocimiento y conciencia sobre la seguridad de los códigos QR y el establecimiento de medidas de seguridad mejoradas.

Las páginas de banca en línea también son propensas a ataques de phishing

El gasto global con códigos QR se proyecta que supere los $3 billones para el 2025, lo que significa que podemos esperar un aumento en los intentos de estafa utilizando pagos con códigos QR.

Esto está respaldado por el mismo estudio de ReliaQuest, que encontró que el 18% de los incidentes de pishing involucraban ladrones que utilizaban páginas de banca en línea para robar información.

Si estás utilizando códigos QR para pagar en tiendas físicas y en línea, verifica si hay signos de manipulación en el código QR. Si tienes la opción, pide a la tienda que te proporcione directamente su número de cuenta y el nombre completo del titular de la cuenta para transacciones seguras.

Los ejecutivos de negocios enfrentan ataques de quishing 42 veces más que los empleados

Según los datos de 2023 de Abnormal Security, los ejecutivos tienen 42 veces más probabilidades de ser blanco de correos electrónicos de phishing que sus empleados.

Esto nos dice que los ciberdelincuentes saben que dirigirse a ejecutivos puede darles acceso a información sensible y rentable y mucho poder dentro de las empresas.

También significa que podría haber vulnerabilidades en la seguridad de una organización que los ejecutivos deberían encontrar y solucionar.

Microsoft y Adobe se encuentran entre las marcas que están siendo suplantadas para el phising.

Los investigadores de inteligencia de amenazas de Barracuda también descubrieron que en la mayoría de los incidentes analizados, los ciberdelincuentes se hicieron pasar por empresas conocidas como Microsoft y Adobe.

Más de la mitad de los ataques implicaron suplantar a Microsoft. Los atacantes imitan la imagen de la empresa utilizando su logotipo, fuente y avisos legales.

Otros incidentes involucraron estafadores que se hacían pasar por el departamento de recursos humanos de la empresa actual de la víctima.

27% de los ataques de quishing son avisos fraudulentos relacionados con la autenticación multifactor (MFA)

La autenticación multifactor puede ser el estándar de oro para asegurar identidades digitales, pero un simple error al hacer clic en un correo electrónico y escanear un código QR de un aviso de MFA fraudulento permite a los atacantes evadir esta protección.

Según Abnormal, un significativo 27% de los intentos de quishing utilizan alertas falsas de MFA para engañar a los usuarios y hacer que escaneen un código QR para la reautenticación.

El 56% de los correos electrónicos de quishing involucraban restablecimientos de autenticación de dos factores (2FA) de Microsoft

Según un estudio de ReliaQuest en septiembre de 2023, la forma más popular de quishing implicaba enviar correos electrónicos para restablecer o habilitar la autenticación de dos factores (2FA) de Microsoft.

Este ataque fue tan frecuente que representó más de la mitad de todos los métodos utilizados en el transcurso de un año.

Las notificaciones falsas de autenticación de dos factores pueden ser una seria amenaza para tu seguridad. Por lo tanto, si recibes correos electrónicos inoportunos como este, contacta inmediatamente a Microsoft u otros proveedores de servicios a los que hayas estado suscrito.

Actores quishing imitan correos electrónicos relacionados con recursos humanos y tecnología de la información

Un informe de phishing de KnowBe4 encontró que el 48.6% de los correos electrónicos de phishing relacionados con Recursos Humanos y Tecnología de la Información son los más letales para los profesionales.

La mayoría de estos correos electrónicos que imitan a los de Recursos Humanos y administradores utilizan códigos QR.

Por ejemplo, los actores de amenazas los utilizan para dirigir a los destinatarios a firmar urgentemente un documento, invitarlos a una reunión de Zoom o descargar un archivo para revisiones de políticas.

Los códigos QR que contienen enlaces maliciosos pueden llevar a ciberataques como compromiso de correo electrónico empresarial (BEC), hackeo de sistemas y ransomware.

El sector energético recibe el 29% de los correos electrónicos de phishing, mientras que el sector minorista sigue siendo el más vulnerable.

Mientras que cualquier industria puede estar en riesgo de sufrir ataques de phishing, dos parecen ser objetivos frecuentes.

La primera es la industria energética. Según los datos, el sector energético recibe el 29% de más de 1,000 correos electrónicos de phishing infectados con malware.

La segunda industria vulnerable al quishing es el sector minorista. El análisis muestra que esta industria tiene la tasa de error más alta, lo que significa que los empleados minoristas a menudo no logran detectar y reportar códigos QR maliciosos a las autoridades.

Otros sectores que son objetivos populares de campañas de phishing son manufactura, seguros, tecnología y servicios financieros.

Un alto número de incidentes dentro de estas industrias indica que atacarlas ha resultado lucrativo para muchos ciberdelincuentes.

Ejemplos de código de phishing en la vida real utilizando códigos QR

A pesar de una baja tasa de detección y reporte, todavía se capturan miles de incidentes. Sin embargo, no saber cómo pueden ocurrir estos fraudes solo ayuda a los criminales a obtener más información personal de las víctimas inocentes.

Hemos recopilado importantes ejemplos de phishing de códigos QR de los que puedes aprender y evitar al encontrarte con uno tú mismo.

Multas de estacionamiento falsas en San Francisco

En el segundo trimestre de 2023, los ciudadanos de San Francisco recibieron multas de estacionamiento en sus vehículos.

Estos boletos tenían un código QR que dirigía a los escáneres a una página de la Agencia de Transporte Municipal de San Francisco (SFMTA) donde los conductores podían pagar sus multas inmediatamente.

Desafortunadamente, la SFMTA no utilizó códigos QR de esta manera.

Peor aún, los estafadores replicaron el sitio web oficial de la SFMTA, haciendo que el falso pareciera legítimo.

Mientras la agencia no pudo confirmar el número de informes que recibieron, instaron a los conductores a verificar si una multa es real buscándola en su sitio web oficial.

Código QR infectado con malware de tienda de té

Otro caso de estafa de phishing utilizando un código QR fue en Singapur, donde una mujer de 60 años perdió $20,000 después de completar una encuesta falsa en línea.

Según la víctima, esta encuesta supuestamente era para obtener una taza de té con leche gratis en una tienda local de bubble tea. El código estaba pegado en la ventana de cristal de la tienda, haciéndolo parecer una promoción del propio negocio.

Lo único especial de esta estafa es que descarga una aplicación de terceros en el teléfono después de escanear el código QR. Esta aplicación solicitará acceso al micrófono y la cámara del teléfono.

La aplicación maliciosa también solicitó acceso al Servicio de Accesibilidad de Android, una aplicación de Android dedicada a ayudar a los usuarios con discapacidades. El acceso a esta aplicación permite al estafador ver y controlar la pantalla de la víctima.

Según el Sr. Beaver Chua, jefe del departamento contra el fraude del Banco OCBC, el estafador esperaría a que la víctima use su aplicación de banca móvil y tome nota de sus credenciales de inicio de sesión y contraseña.

Con esta información, el estafador solo tiene que tomar el control del teléfono en el momento adecuado y transferir dinero de la cuenta de la víctima.

Códigos QR para robar credenciales en la Universidad de Washington

En septiembre de 2023, estudiantes y profesores de la Universidad de Washington en St. Louis (WUSTL) se convirtieron en objetivos de ciberdelincuentes que utilizaban códigos QR de phishing.

Según una publicación de blog, la campaña de phishing utilizaba correos electrónicos con un código QR malicioso adjunto. Al escanearlo, el código QR dirigía a los miembros de la comunidad a una página falsa de inicio de sesión de WUSTL Key.

Pero ¿cómo convencería el estafador a los usuarios de escanear el código? Haciéndoles creer que sus cuentas serían terminadas si no lo hacen.

Porque parecía un correo electrónico oficial, es bastante fácil engañar a los profesores y estudiantes de WUSTL desprevenidos para que mantengan sus cuentas escaneando el código.

Afortunadamente, el equipo de seguridad de la información de la universidad informó a la comunidad sobre la estafa, evitando que más personas cayeran en ella.

Código QR malicioso que cubre uno legítimo en Teesside, Inglaterra

En noviembre del mismo año, otro ejemplo de código de phishing también fue lanzado en la estación de Thronaby en Teesside, Inglaterra. Al igual que el código QR de la encuesta de la tienda de té, resultó en al menos una víctima perdiendo miles de su dinero ganado con esfuerzo.

El código QR fue colocado sobre uno genuino en el estacionamiento de la estación. Cuando la víctima, una mujer de 71 años que deseaba permanecer en el anonimato, escaneó uno de estos códigos QR falsos para pagar el estacionamiento, sin darse cuenta ofreció su información bancaria a los estafadores.

Su banco bloqueó su transacción. Desafortunadamente, los criminales se hicieron pasar por personal del banco y la convencieron de sacar un préstamo de £7,500.

Después, cambiaron su información bancaria, pidieron nuevas tarjetas, acumularon deudas que resultarían en una pérdida total de £13,000 para la víctima y crearon una cuenta bancaria en línea.

Según VirginMoney, el préstamo de la víctima eventualmente sería cancelado mientras que todas las transacciones fraudulentas serían reembolsadas.

El código QR del correo electrónico falso de expiración de la autenticación de dos factores de Microsoft

Este fraude es un ejemplo claro de cómo la industria energética es blanco de ataques de quishing.

En el mismo mes que el código QR falso de Teesside, Microsoft envió un correo electrónico a una empresa en la industria industrial y energética. El correo electrónico indicaba que la autenticación de dos factores (2FA) del destinatario estaba a punto de caducar.

Según el correo electrónico, renovar esta medida de seguridad habría requerido escanear el código QR adjunto. Dado que Microsoft no envía este tipo de correo electrónico, estaba claro que este correo electrónico tenía la intención de recopilar credenciales de la empresa.

La naturaleza fraudulenta del correo electrónico también fue obvia para los empleados observadores gracias a los diversos errores gramaticales encontrados en el texto. Ni siquiera un generador de códigos QR con integración de logotipo puede salvar eso.

Códigos QR de DocuSign ilegítimos

DocuSign es la plataforma número 1 para firmas electrónicas. Desafortunadamente, esto también lo ha convertido en uno de los favoritos entre los ciberdelincuentes, especialmente aquellos que prefieren usarlo para llevar a cabo estafas de phishing.

Cuando un actor malicioso imita la plataforma de DocuSign para lanzar ataques de phishing, suelen copiar comunicaciones oficiales de la empresa para que sus correos electrónicos fraudulentos parezcan genuinos.

Y dado que los correos electrónicos de DocuSign se pueden personalizar para adaptarse a la marca que utiliza sus servicios, se vuelve más fácil ocultar las verdaderas intenciones del estafador.

Los códigos QR pueden aumentar la decepción al "otorgar" acceso al documento que necesita ser firmado. En realidad, el código QR envía a los escáneres a un sitio web malicioso que captura cualquier información personal ingresada.

Este método puede afectar seriamente la confianza de las personas en los códigos QR, haciéndoles preguntar: "¿Son seguros los códigos QR?"

Código QR de Malicious OneService Lite en Singapur

A principios de 2023, la Oficina de Servicios Municipales (MSO) de Singapur comenzó a recibir informes de un código QR falso que imitaba al legítimo código QR de OneService Lite.

OneService es una plataforma lanzada por el gobierno de Singapur que ayuda a los ciudadanos a enviar sus comentarios a un único portal. Esto facilita el proceso de retroalimentación ya que los ciudadanos preocupados no necesitan buscar a qué agencia o consejo municipal contactar.

Desafortunadamente, el código QR falso lleva a las personas a un formulario de comentarios donde deben enviar su información personal.

Esto llevó a la MSO a lanzar investigaciones sobre el asunto. Ellos y varios consejos municipales también iniciaron controles de cada código QR de OneService Lite y aconsejaron al público verificar la dirección web del código QR antes de enviar cualquier información.

¿Son seguros los códigos QR?

Con todas estas estadísticas y ejemplos de la vida real de quishing, es fácil pensar que los códigos QR son demasiado peligrosos para usar. Pero eso no podría estar más lejos de la verdad.

Si bien los códigos QR pueden proporcionar acceso a enlaces maliciosos, no dañan a las personas. Al igual que una puerta, su único propósito es permitirte entrar, incluso si la "habitación" a la que estás ingresando puede ser peligrosa.

Con una generador de códigos QR dinámicos En línea, puedes garantizar códigos QR seguros y confiables. Los mejores a menudo utilizan las herramientas de seguridad más avanzadas, como la autenticación de dos factores (2FA), auditorías internas y monitoreo las 24 horas del día, los 7 días de la semana.

¿De qué otra manera? código QR seguro y estar seguro? Al usar otra función dinámica llamada protección por contraseña. Los códigos QR dinámicos son más avanzados, vienen con una contraseña.

Si la contraseña que conoces no funciona, se te impedirá acceder al contenido del código QR. En cuanto a los códigos QR falsos, esto te mantendrá seguro.

Los escáneres de códigos QR también muestran vistas previas de los enlaces incrustados dentro de los códigos QR, lo cual es otra capa de seguridad que puedes utilizar para evitar ataques maliciosos.

Para identificar un enlace seguro, busca un símbolo de "candado" al previsualizarlo. Este símbolo significa que el enlace es encriptado y asegurado por una certificación de Capa de Conexión Segura (SSL).

Qué debes hacer para evitar los ataques de phishing

Para evitar ser víctima de ataques de quishing, ten en cuenta lo siguiente antes de escanear códigos QR:

Evita escanear códigos QR ubicados en áreas aleatorias o sospechosas.
Si estás en un área pública, verifica si hay signos de manipulación en el código QR.
Busca indicadores comunes de una estafa en correos electrónicos que contengan códigos QR (mala gramática, errores tipográficos, imágenes borrosas)
Si el código QR solicita información sensible, considera si es necesario obtener lo que se supone que el código debe darte.
Para aquellos que gestionan sus finanzas, entender la importancia de hacer un presupuesto es esencial, y puedes encontrar útil consejos de presupuesto para ayudar a navegar a través de desafíos financieros.
Siempre verifica la dirección URL que te muestra tu cámara o escáner de códigos QR después de escanear un código QR. Si el enlace parece sospechoso, no accedas a él.

Cree códigos QR seguros y confiables con QR TIGER

Si estás considerando usar códigos QR en tu vida personal o profesional, siempre debes asegurarte de que los códigos que generes sean seguros y protegidos.

Hemos cubierto cómo hacer eso. Lo que necesitas hacer a continuación es encontrar una plataforma de códigos QR segura, protegida y confiable.

El sistema de QR TIGER cumple con las regulaciones de GDPR y CCPA y los estándares de seguridad en ISO-27001, brindándote códigos QR seguros, editables y rastreables.

También ofrecemos una serie de otras funciones: protección con contraseña para tus códigos QR y autenticación de dos factores para tu cuenta. Con estos, puedes estar seguro de que tus escaneos están seguros con nosotros.

Armado con estadísticas clave de phishing de códigos QR y ejemplos, tus códigos QR serán seguros de usar y confiables para todos.