Barracuda full logo

Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»

Temas:
20 ago 2025
|
Rohit Suresh Kanase

El «quishing» es una forma de phishing que implica el uso de códigos QR con enlaces maliciosos incrustados. Al escanearlos, estos códigos QR redirigen a las víctimas a sitios web falsos diseñados para robar sus credenciales u otros datos sensibles.

Los códigos QR maliciosos son populares entre los atacantes por varias razones. No pueden leerlos los humanos, por lo que no levantan ninguna señal de alarma, y a menudo pueden eludir las medidas de seguridad tradicionales, como los filtros de correo electrónico y los escáneres de enlaces. Además, dado que los destinatarios a menudo tienen que cambiar a un dispositivo móvil para escanear el código, puede llevar a los usuarios fuera del perímetro de seguridad de la empresa y alejarlos de la protección.

A medida que las herramientas de seguridad se adaptan a la amenaza del quishing, los atacantes han seguido innovando en sus enfoques para usarlo. Barracuda ya informó anteriormente sobre la evolución de los ataques de phishing con códigos QR y la llegada de ataques de códigos QR ASCII más sofisticados.

En este artículo, exploramos los últimos avances en las técnicas de ataque de códigos QR, incluidas las técnicas de códigos QR divididos y códigos anidados (QR en QR).

Códigos QR divididos

El kit de phishing como servicio (PhaaS) Gabagool ha comenzado recientemente a utilizar una nueva técnica para ayudar a que los códigos QR maliciosos eviten la detección. La técnica consiste en dividir el código QR en dos imágenes separadas e incrustarlas en un correo electrónico de phishing. Cuando las soluciones de seguridad para el correo electrónico tradicionales escanean el mensaje, ven dos imágenes distintas y de aspecto inofensivo en lugar de un código QR completo.

Los analistas de amenazas de Barracuda descubrieron recientemente que los atacantes de Gabagool implementaban códigos QR divididos en un ataque que comenzó como una estafa estándar de «restablecimiento de contraseñas» de Microsoft. El uso de mensajes altamente personalizados por parte de los atacantes sugiere que ya habían implementado con éxito un ataque de secuestro de conversaciones contra el objetivo.

Ejemplo de cómo se ve un código QR dividido en un ataque de phishing
El código QR en el mensaje parece completo, pero cuando observas el visual en HTML, puedes ver que está compuesto por dos imágenes diferentes. 
Ejemplo de un código QR dividido

Si el destinatario escanea el código, se le dirige a una página de phishing diseñada para robar sus credenciales de inicio de sesión de Microsoft.

Códigos QR anidados

Los analistas han observado que Tycoon 2FA PhaaS ha desplegado otra técnica novedosa para ayudar a que los códigos QR maliciosos eviten la detección. En este caso, el código QR malicioso está incrustado dentro o alrededor de un código QR legítimo.

Ejemplo de un código QR anidado usado en un ataque de phishing

El email anterior muestra cómo están anidados juntos los dos códigos QR. El código QR externo apunta a una URL maliciosa, mientras que el código QR interno lleva a Google. Esta técnica puede hacer que les resulte más difícil a los escáneres detectar la amenaza porque los resultados son ambiguos.

Defenderse contra la evolución de los códigos QR

Además de los conceptos básicos de la formación en concienciación sobre seguridad, la autenticación multifactor y los filtros robustos de spam y malware, las organizaciones deberían considerar la protección del correo electrónico multicapa que integre capacidades de IA multimodal para detectar estas amenazas que evolucionan rápido.

La IA multimodal mejora la detección al procesar imágenes de archivos adjuntos para localizar visualmente los códigos QR, decodificar el contenido QR y analizar la URL de destino o la carga útil, ejecutar enlaces sospechosos en entornos sandbox para detectar comportamientos maliciosos en tiempo real y utilizar el machine learning para analizar la estructura del código QR y los patrones de píxeles sin necesidad de extraer el contenido incrustado.

La IA multimodal de Barracuda combina OCR, procesamiento profundo de imágenes y modelos de lenguaje natural para detectar correos electrónicos de phishing basados en imágenes, incluso aquellos que contienen solo un código QR.

Los analistas de amenazas de Barracuda informan regularmente sobre la evolución de las amenazas de correo electrónico y las tácticas de ataque. Suscríbete a nuestro blog para recibir actualizaciones al respecto.

Suscríbase al blog de Barracuda
Rohit Suresh Kanase

Rohit Kanase es un analista asociado de amenazas en el equipo de análisis de amenazas de Barracuda Networks, y se centra en la protección del correo electrónico. Le apasiona identificar patrones de ataque en evolución y monitorea campos emergentes en ciberseguridad para mantener una comprensión amplia en todos los dominios.

Publicaciones relacionadas:
BarracudaONE supercharges MSP operations with new capabilities
BarracudaONE supercharges MSP operations with new capabilities
 Presentación de Barracuda Research: el nuevo recurso para nuestra inteligencia y conocimientos sobre amenazas globales
Presentación de Barracuda Research: el nuevo recurso para nuestra inteligencia y conocimientos sobre amenazas globales
 Más allá de MITM: El peligro creciente de los ataques "adversario en el medio"
Más allá de MITM: El peligro creciente de los ataques "adversario en el medio"
 Cómo BMAT Schools Trust se mantiene a la vanguardia de las ciberamenazas con Barracuda
Cómo BMAT Schools Trust se mantiene a la vanguardia de las ciberamenazas con Barracuda
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.