Quishing
¿Qué es Quishing?
QuishingPhishing que oculta una URL maliciosa dentro de un código QR para que la víctima lo escanee con el móvil y acceda a una página de robo de credenciales o malware fuera de las defensas corporativas.
El quishing (phishing mediante código QR) es un ataque de ingeniería social en el que el enlace malicioso se codifica como un código QR en lugar de escribirse como texto visible. Al estar embebida en una imagen, la URL suele eludir los escáneres de enlaces de correo y las pasarelas seguras, y al escanear el usuario pasa a un dispositivo móvil personal con controles más débiles. Los señuelos habituales incluyen falsos avisos de configuración de la autenticación multifactor, peticiones de entrega de paquetes o pago de aparcamiento, y pegatinas colocadas sobre códigos legítimos en carteles o mesas de restaurantes. Las defensas incluyen filtrado de correo que analiza imágenes y QR, bloqueo de dominios maliciosos, autenticación FIDO2 resistente al phishing, defensa móvil frente a amenazas y concienciación del usuario.
● Ejemplos
- 01
Un correo que suplanta a TI pide a los empleados escanear un código QR para "reactivar" la MFA de Microsoft 365, llevándolos a una página de inicio de sesión falsa que captura credenciales y tokens de sesión.
- 02
Los atacantes pegan códigos QR fraudulentos sobre los legítimos en los parquímetros para que los conductores paguen en un sitio falso en lugar de al ayuntamiento.
● Preguntas frecuentes
¿Qué es Quishing?
Phishing que oculta una URL maliciosa dentro de un código QR para que la víctima lo escanee con el móvil y acceda a una página de robo de credenciales o malware fuera de las defensas corporativas. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Quishing?
Phishing que oculta una URL maliciosa dentro de un código QR para que la víctima lo escanee con el móvil y acceda a una página de robo de credenciales o malware fuera de las defensas corporativas.
¿Cómo funciona Quishing?
El quishing (phishing mediante código QR) es un ataque de ingeniería social en el que el enlace malicioso se codifica como un código QR en lugar de escribirse como texto visible. Al estar embebida en una imagen, la URL suele eludir los escáneres de enlaces de correo y las pasarelas seguras, y al escanear el usuario pasa a un dispositivo móvil personal con controles más débiles. Los señuelos habituales incluyen falsos avisos de configuración de la autenticación multifactor, peticiones de entrega de paquetes o pago de aparcamiento, y pegatinas colocadas sobre códigos legítimos en carteles o mesas de restaurantes. Las defensas incluyen filtrado de correo que analiza imágenes y QR, bloqueo de dominios maliciosos, autenticación FIDO2 resistente al phishing, defensa móvil frente a amenazas y concienciación del usuario.
¿Cómo defenderse de Quishing?
Las defensas contra Quishing combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Quishing?
Nombres alternativos comunes: Phishing por código QR, Phishing QR.
● Términos relacionados
- attacks№ 917
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.
- attacks№ 1175
Smishing
Phishing por SMS u otros canales de mensajería móvil que busca engañar a la víctima para que pulse enlaces maliciosos, llame a números fraudulentos o revele datos.
- attacks№ 1333
Vishing
Phishing realizado por canales de voz —llamadas telefónicas o VoIP— para manipular a la víctima y obtener credenciales, pagos o acceso remoto.
- attacks№ 1192
Spear phishing
Ataque de phishing dirigido y personalizado contra una persona u organización concreta utilizando datos personales o profesionales recopilados previamente.
- attacks№ 1183
Ingeniería social
Manipulación psicológica de personas para que realicen acciones o revelen información confidencial que beneficia al atacante.
- identity-access№ 253
Recolección de credenciales
Captura a gran escala de usuarios, contraseñas, tokens y otros secretos de autenticación, generalmente para tomar cuentas o venderlos después.