{"id":42322,"date":"2026-06-17T17:16:28","date_gmt":"2026-06-17T15:16:28","guid":{"rendered":"https:\/\/smartfense.com\/?p=42322"},"modified":"2026-06-18T12:30:30","modified_gmt":"2026-06-18T10:30:30","slug":"qrishing-phishing-qr-como-simularlo","status":"publish","type":"post","link":"https:\/\/smartfense.com\/es-ar\/blog\/qrishing-phishing-qr-como-simularlo\/","title":{"rendered":"Qrishing (o quishing): qu\u00e9 es el phishing por QR y c\u00f3mo simularlo"},"content":{"rendered":"

Hay un cartel con un c\u00f3digo QR pegado encima de otro. A simple vista no se nota, el adhesivo nuevo tapa al original y lleva a otra parte. Quien lo escanea cree que paga el parking o abre el men\u00fa del restaurante, pero acaba de entregar sus datos en una p\u00e1gina falsa.<\/p>\n

Eso es qrishing, tambi\u00e9n escrito quishing, y es uno de los vectores que m\u00e1s creci\u00f3 en el \u00faltimo a\u00f1o. Lo inc\u00f3modo para el equipo de seguridad es que casi todo lo que est\u00e1 montado para frenar el phishing por correo no lo ve venir.<\/p>\n

\u00bfQu\u00e9 es el qrishing o quishing?<\/h2>\n

El qrishing es una variante de phishing que usa un c\u00f3digo QR como anzuelo. En lugar de un enlace de texto, el atacante esconde la URL maliciosa dentro de un QR para que la persona lo escanee y termine en una p\u00e1gina fraudulenta.<\/p>\n

El nombre surge de unir QR y phishing, y vas a encontrarlo escrito de las dos formas, qrishing y quishing, seg\u00fan la fuente. El objetivo es el de siempre (robar credenciales, datos de pago o llevar a la instalaci\u00f3n de algo en el dispositivo), pero cambia el envoltorio, y ese cambio es justo lo que lo vuelve efectivo.<\/p>\n

\u00bfC\u00f3mo funciona un ataque de qrishing?<\/h2>\n

El esquema es sencillo, y por eso funciona.<\/p>\n

El atacante genera un c\u00f3digo QR falso que apunta a una p\u00e1gina bajo su control, una copia del portal de acceso de un banco, del correo corporativo o de una pasarela de pago. Despu\u00e9s lo coloca donde la gente baja la guardia: pegado sobre un QR leg\u00edtimo en un espacio p\u00fablico, dentro de un correo o un PDF con aspecto oficial, o impreso en una carta que aparenta venir de un proveedor.<\/p>\n

La persona escanea, llega a la p\u00e1gina falsa, escribe sus credenciales y se las entrega al atacante sin notarlo. Como el QR se abre casi siempre en el m\u00f3vil, el salto del entorno corporativo al dispositivo personal es inmediato.<\/p>\n

\u00bfPor qu\u00e9 se les escapa a los filtros tradicionales?<\/h2>\n

Ac\u00e1 est\u00e1 el punto que m\u00e1s preocupa. Un filtro de correo analiza enlaces y adjuntos, pero un c\u00f3digo QR viaja como imagen. Para el filtro es un cuadro de p\u00edxeles, no una direcci\u00f3n que pueda revisar contra listas de reputaci\u00f3n.<\/p>\n

Y hay un segundo problema. El QR casi siempre se escanea con el tel\u00e9fono personal, fuera de la red corporativa y de sus controles. El equipo de seguridad pierde visibilidad justo en el momento del escaneo. Es la misma brecha que trabajamos en lo que tu SIEM no ve<\/a>, donde el comportamiento de la persona ocurre en un lugar al que las herramientas tradicionales no llegan.<\/p>\n

Por eso bloquear no alcanza. Si la defensa depende de que un sistema intercepte el ataque, el qrishing pasa por debajo.<\/p>\n

\u00bfC\u00f3mo se simula el qrishing?<\/h2>\n

La forma de saber cu\u00e1n expuesta est\u00e1 tu organizaci\u00f3n es provocar un ataque controlado antes de que llegue el real. Una simulaci\u00f3n de qrishing reproduce el escenario en un entorno seguro y mide qu\u00e9 ocurre.<\/p>\n

En la pr\u00e1ctica, la campa\u00f1a incluye un c\u00f3digo QR que lleva a una p\u00e1gina de aterrizaje propia e inofensiva, en lugar de a un sitio fraudulento. Cuando alguien lo escanea no entrega nada; solo queda registrado que escane\u00f3, y ese dato alimenta el indicador de riesgo de esa persona. Con eso, la organizaci\u00f3n sabe d\u00f3nde reforzar.<\/p>\n

Lo que distingue a una buena simulaci\u00f3n est\u00e1 en c\u00f3mo se dise\u00f1a, algo que desarrollamos en c\u00f3mo se dise\u00f1a una campa\u00f1a de simulaci\u00f3n que cambia comportamiento<\/a>. El QR es un canal m\u00e1s dentro de esa l\u00f3gica, no un truco aislado.<\/p>\n

\u00bfC\u00f3mo se entrena a la gente contra el qrishing?<\/h2>\n

La tecnolog\u00eda ayuda, pero frente al qrishing la \u00faltima decisi\u00f3n la toma siempre una persona con el tel\u00e9fono en la mano. Vale la pena trabajar tres reflejos:<\/p>\n