El tsunami del 'quishing': 8.300 millones de correos phishing y un 146% más de ataques con códigos QR

Las cifras son abrumadoras. En el primer trimestre de 2026, Microsoft detectó y analizó la cifra récord de 8.300 millones de correos electrónicos de phishing. Esto no es solo una anomalía estadística; representa un cambio fundamental en el panorama de las ciberamenazas. Según el último informe de inteligencia de amenazas de Microsoft, la tendencia más alarmante es el aumento del 146% en el phishing mediante códigos QR, conocido como 'quishing'. Los atacantes, en un clásico ejercicio de evolución adaptativa, están eludiendo los filtros de seguridad tradicionales del correo electrónico incrustando códigos QR maliciosos en mensajes aparentemente inofensivos.

Pero la innovación no se detiene ahí. El mismo informe destaca una nueva y peligrosa táctica: la utilización de CAPTCHA como arma. Estas pruebas de 'No soy un robot', diseñadas para mantener alejados a los bots, ahora son utilizadas por los ciberdelincuentes para añadir una capa de legitimidad a sus páginas de phishing. Cuando un usuario escanea un código QR malicioso, es dirigido a una página de inicio de sesión falsa que presenta un desafío CAPTCHA. Este sencillo truco psicológico tiene dos propósitos: elude los rastreadores de seguridad automatizados que podrían marcar la página y reduce la desconfianza de la víctima, creando una falsa sensación de seguridad.

Esta evolución en la ingeniería social no es nueva, pero su escala no tiene precedentes. Durante siglos, los estafadores han entendido que la forma más efectiva de hackear un sistema es hackear la mente humana. El infame caso de Victor Lustig, quien 'vendió' la Torre Eiffel a chatarreros en dos ocasiones durante la década de 1920, es un paralelismo histórico perfecto. Lustig no forzó cerraduras ni falsificó documentos a la perfección; simplemente entendió el poder de la autoridad, la urgencia y una narrativa convincente. Los ataques de quishing actuales operan bajo los mismos principios. El código QR ofrece comodidad; el CAPTCHA ofrece una falsa sensación de verificación.

La magnitud del problema exige una respuesta política. En Francia, el gobierno ha reintroducido su filtro antiespanto, una herramienta diseñada para bloquear de forma proactiva URL maliciosas y sitios de phishing conocidos. Aunque es un paso en la dirección correcta, la eficacia de estos filtros contra los ataques con códigos QR es cuestionable, ya que el propio código QR desconecta físicamente al usuario de la URL. El usuario escanea un código en su teléfono, eludiendo la seguridad de su ordenador corporativo. Esta laguna de 'traiga su propio dispositivo' (BYOD) es una mina de oro para los atacantes.

Para los profesionales de la ciberseguridad, las implicaciones son claras. En primer lugar, la formación en concienciación sobre seguridad debe evolucionar. Los usuarios deben ser entrenados no solo para detectar enlaces sospechosos, sino para desconfiar de los códigos QR en correos electrónicos no solicitados, incluso si van seguidos de un CAPTCHA. En segundo lugar, los controles técnicos deben adaptarse. Las soluciones de seguridad de correo electrónico deben analizar las imágenes y los códigos QR que contienen, no solo el texto y los enlaces. En tercer lugar, las políticas de gestión de dispositivos móviles (MDM) deben endurecerse para evitar que los usuarios accedan a recursos corporativos desde dispositivos personales que pueden carecer del mismo nivel de protección.

La cifra de 8.300 millones de Microsoft es un aviso. La superficie de ataque se expande y el factor humano sigue siendo el punto de entrada más vulnerable. El tsunami del quishing ha llegado y se alimenta de las mismas herramientas que antes confiábamos para mantenernos a salvo.