Empresa

Cuidado con los QR del verano: los ciberdelincuentes esconden enlaces maliciosos en códigos creados con texto

Kaspersky ha detectado una nueva técnica de phishing en la que los ciberdelincuentes construyen códigos QR utilizando caracteres de texto en lugar de imágenes tradicionales, una táctica que puede ayudarles a eludir numerosas soluciones de seguridad basadas en el análisis de imágenes o enlaces.

Aunque muchas personas asocian los códigos QR al ocio y a los viajes, los ciberdelincuentes llevan años utilizándolos como vehículo para distribuir campañas de phishing y fraude. De hecho, durante la segunda mitad de 2025, Kaspersky detectó un aumento de cinco veces en los ataques de phishing basados en códigos QR. Ahora, los analistas de la compañía han identificado una nueva táctica en la que los atacantes construyen códigos QR utilizando caracteres de texto en lugar de imágenes convencionales. Este método permite que los códigos maliciosos eviten muchos sistemas de seguridad del correo electrónico que dependen del análisis de imágenes o de la detección de enlaces sospechosos.

Código QR malicioso construido mediante caracteres de texto

Los primeros ordenadores no eran capaces de representar gráficos reales, por lo que las imágenes se componían íntegramente mediante caracteres de texto. Históricamente, esto se hacía utilizando símbolos del conjunto ASCII (American Standard Code for Information Interchange), introducido en 1963. Las imágenes creadas mediante esta técnica recibieron el nombre de gráficos ASCII. Posteriormente, también comenzaron a utilizarse otros conjuntos de caracteres, como Unicode, aunque el término "gráficos ASCII" siguió empleándose para describir este tipo de representaciones.

Ejemplo de gráfico ASCII

Durante los meses de verano, el uso de códigos QR se multiplica. Restaurantes, museos, alojamientos turísticos, festivales, aeropuertos y empresas de alquiler de vehículos recurren a ellos para facilitar información, acceder a servicios o agilizar gestiones desde el teléfono móvil. Precisamente esa confianza y esa frecuencia de uso convierten a los códigos QR en un objetivo especialmente atractivo para los ciberdelincuentes, que buscan aprovechar un gesto cotidiano para redirigir a las víctimas hacia páginas fraudulentas.

Del arte ASCII al phishing moderno

Ya en los años 2000, los remitentes de spam utilizaban imágenes construidas a partir de caracteres de texto. Al sustituir las imágenes tradicionales por gráficos basados en texto, intentaban evitar los mecanismos de detección capaces de analizar imágenes en busca de URL ocultas.

Cuando se utilizan gráficos ASCII para construir códigos QR, el esquema de phishing sigue un patrón similar al de los códigos QR incluidos en imágenes, una técnica que Kaspersky ya había analizado anteriormente. Las víctimas reciben un correo electrónico que aparentemente procede de un socio comercial y que afirma incluir un documento confidencial pendiente de firma a través de DocuSign. El mensaje solicita escanear un código QR para acceder al documento, lo que dirige a la víctima a una página web fraudulenta donde se solicitan credenciales corporativas. Al estar construido mediante caracteres de texto, muchos sistemas de protección no identifican ningún enlace sospechoso.

"En verano tendemos a escanear códigos QR con mucha más frecuencia y, además, solemos hacerlo deprisa y desde el teléfono móvil. Los atacantes conocen Ahora están intentando eludir los sistemas de detección basados en imágenes regresando al texto, esta vez para construir códigos QR. Cualquier situación en la que un código QR solicite introducir credenciales corporativas desde un dispositivo móvil debería generar sospechas inmediatas. Si además el código QR está formado mediante gráficos ASCII, es casi seguro que se trata de un intento de phishing o de un señuelo que conduce a una URL maliciosa. Este truco tiene un único objetivo: evitar las tecnologías de seguridad", explica Roman Dedenok, experto antispam de Kaspersky.

Kaspersky recomienda extremar la precaución con cualquier código QR recibido por correo electrónico o aplicaciones de mensajería que solicite iniciar sesión, introducir credenciales o descargar documentos, especialmente cuando proceda de un remitente inesperado o genere sensación de urgencia. 

Noticias de Empresa