Quishing 2.0: las nuevas técnicas de ciberataques que ponen en jaque la seguridad digital

El phishing lleva años siendo una de las principales amenazas cibernéticas. Su evolución ha dado paso a nuevas formas de engaño, entre ellas el quishing, un método basado en el uso de códigos QR que, al ser escaneados, redirigen a páginas fraudulentas diseñadas para robar credenciales o información sensible. Hasta aquí, nada nuevo. Lo preocupante es que los ciberdelincuentes han reinventado esta técnica, desarrollando variantes mucho más difíciles de detectar tanto para los usuarios como para los sistemas de seguridad corporativos.

Según expertos en ciberseguridad de la compañía Barracuda, han surgido recientemente dos métodos especialmente sofisticados: el split QR y el nested QR, que marcan un antes y un después en la manera de camuflar ataques.

Técnicas emergentes: cómo engañar a usuarios y máquinas

La primera modalidad, conocida como split QR, consiste en dividir un código QR en varias imágenes fragmentadasque, colocadas de forma conjunta en un correo electrónico, forman aparentemente un único código. A simple vista, el destinatario percibe un QR normal, pero los filtros automáticos de seguridad, al analizar imágenes por separado, no identifican el patrón completo. Resultado: el ataque pasa inadvertido.

La segunda innovación, el nested QR, juega con la inserción de un QR malicioso dentro o alrededor de otro aparentemente legítimo. Por ejemplo, uno podría dirigir al usuario a Google o a la web oficial de un servicio, mientras que el externo redirige a un sitio fraudulento. De este modo, el atacante aprovecha la ambigüedad y reduce la sospecha tanto de los sistemas automáticos como de los propios usuarios.

Ambas técnicas se han detectado en kits de phishing como servicio (PhaaS), que permiten a delincuentes con escasos conocimientos técnicos lanzar campañas avanzadas. Entre ellos destacan los conocidos como Gabagool y Tycoon, muy activos en la distribución de estas variantes.

Por qué son especialmente peligrosos

Estos nuevos métodos representan un riesgo creciente por tres motivos fundamentales:

1. Eluden la detección automática: los filtros tradicionales no reconocen el QR completo cuando está dividido o confunden el QR legítimo con el fraudulento en los casos anidados.
2. Rompen la seguridad corporativa: al escanearse desde móviles personales, el usuario sale del perímetro de protección de la empresa, quedando expuesto a amenazas directas.
3. Generan confianza visual: un QR aparentemente normal, incluso acompañado de logos o referencias legítimas, reduce la desconfianza inicial de la víctima.

Cómo protegerse

La defensa frente al quishing 2.0 no puede basarse en un único mecanismo. Los especialistas recomiendan estrategias de seguridad multicapa que incluyan filtros de correo con capacidad de análisis de imágenes, antivirus con IA multimodal y políticas de gestión de dispositivos móviles (MDM).

A nivel corporativo, la formación del personal es clave: enseñar a desconfiar de códigos QR recibidos por correo, verificar remitentes y confirmar enlaces antes de abrirlos. Asimismo, la autenticación multifactor (MFA) puede impedir que un robo de credenciales derive en un acceso inmediato.

Finalmente, conviene implantar soluciones que permitan previsualizar el destino de un QR antes de abrirlo, ya que muchos ataques se aprovechan de URLs largas o enmascaradas.

Un desafío en constante evolución

El quishing es un ejemplo claro de cómo los ciberdelincuentes están reinventando técnicas clásicas para evadir controles. Ya no basta con detectar un enlace sospechoso: ahora la amenaza se camufla en un código que parece inofensivo, pero que puede abrir la puerta a graves incidentes de seguridad.

Ante este escenario, la mejor defensa es la combinación de tecnología avanzada y usuarios concienciados. Porque en la ciberseguridad actual, la pregunta no es si habrá intentos de ataque, sino cuán preparados estamos para detectarlos y detenerlos a tiempo.