Barracuda full logo

El aviso de quishing del FBI advierte sobre la campaña de spear-phishing de Corea del Norte

Temas:
20 ene 2026
|
Mike Vizard

Cómo las sofisticadas tácticas de phishing con códigos QR están amenazando a organizaciones e individuos específicos

Conclusiones

  • El FBI ha emitido una advertencia sobre campañas avanzadas de spear phishing de Corea del Norte que utilizan tácticas de phishing con códigos QR (quishing).
  • Kimsuky, un grupo cibernético patrocinado por el estado, ha pasado de la distribución aleatoria de códigos QR a dirigirse a individuos y organizaciones específicas a través de correos electrónicos personalizados.
  • Los ataques de quishing aprovechan los códigos QR maliciosos que enlazan a sitios web falsos, permitiendo la descarga de malware o la recolección de datos mientras evaden las medidas de seguridad tradicionales.
  • El quishing es difícil de detectar porque los códigos QR incrustados en correos electrónicos pueden evadir la inspección de URL y las cajas de seguridad.

La Oficina Federal de Investigaciones (FBI) ha emitido una alerta flash que advierte que un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Norte conocido como Kimsuky ha evolucionado sus tácticas y técnicas de phishing con códigos QR, también conocido como quishing, para crear campañas de spear-phishing que tienen como objetivo a individuos específicos.

Los ataques de quishing se basan en códigos QR maliciosos que contienen enlaces a sitios web fraudulentos donde se descarga malware o se recopilan datos sensibles a través de un sitio web diseñado para parecer legítimo.

En lugar de simplemente distribuir códigos QR al azar, el FBI está advirtiendo a los profesionales de la ciberseguridad que el grupo Kimsuky ahora está intentando apuntar a individuos específicos. Por ejemplo, en mayo del año pasado, un actor de amenazas que pretendía ser un asesor extranjero envió un correo electrónico solicitando información a un líder de un grupo de expertos sobre los desarrollos recientes en la Península de Corea. El correo electrónico proporcionaba un código QR para escanear y acceder a un cuestionario. Más tarde ese mes, actores de Kimsuky que suplantaban a un empleado de una embajada enviaron un correo electrónico solicitando la opinión de un investigador senior en un grupo de expertos sobre cuestiones de derechos humanos en Corea del Norte. El correo electrónico contenía un código QR que supuestamente proporcionaba acceso a un disco seguro.

El pasado mayo, actores cibernéticos de Kimsuky, también haciéndose pasar por un empleado de un grupo de expertos, enviaron un correo electrónico con un código QR que, al ser escaneado, llevaría al individuo objetivo a la infraestructura de Kimsuky diseñada para llevar a cabo actividades maliciosas. En junio de 2025, enviaron a una firma de asesoría estratégica un correo electrónico de spear-phishing invitando a los destinatarios a una conferencia inexistente. El correo contenía un código QR que dirigía al usuario a una página de destino de registro con un botón para registrarse. El botón de registro llevaba a los visitantes a una página de inicio de sesión de cuenta de Google falsa, donde los usuarios podían introducir sus credenciales de inicio de sesión para ser capturadas.

Por qué los ataques de quishing son tan peligrosos

Los ataques de quishing son extremadamente difíciles de detectar y, a medida que se vuelven más dirigidos, potencialmente más letales. Comúnmente entregan imágenes QR como archivos adjuntos de correo electrónico o gráficos incrustados, evadiendo la inspección, reescritura y sandboxing de URLs. Después de escanear, las víctimas son redirigidas a través de redirecciones controladas por los atacantes que recopilan atributos del dispositivo e identidad, como el sistema operativo y la dirección IP, para dirigir a los usuarios a una página web falsa que parece creíble.

Una vez que el usuario inicia sesión, los atacantes añaden más leña al fuego robando también tokens que luego pueden utilizarse para eludir los protocolos de autenticación multifactorial (MFA) de los que dependen muchos proveedores de aplicaciones y servicios en la nube para proteger sus entornos.

Cómo protegerse frente a los ataques de quishing

Además de implementar la gestión de dispositivos móviles (MDM) o soluciones de seguridad en el endpoint capaces de analizar las URLs a las que los códigos QR maliciosos intentan redirigir a un usuario final a un sitio web falso, el FBI está aconsejando a los equipos de ciberseguridad que aseguren que los usuarios finales sean conscientes de los riesgos asociados con los códigos QR.

Además, las organizaciones deben implementar MFA resistente al phishing para todos los accesos remotos y sistemas sensibles, monitorizar toda la entrada de credenciales y la actividad de red que involucre códigos QR, y aplicar políticas de contraseñas seguras en todos los servicios, prestando especial atención a la longitud, unicidad y almacenamiento seguro.

Finalmente, el FBI sugiere que las organizaciones revisen los privilegios de acceso de acuerdo con el principio de privilegio mínimo, realicen auditorías regulares para detectar permisos de cuenta no utilizados o excesivos y actualicen las herramientas antivirus y antimalware, y, cuando sea posible, remedien cualquier vulnerabilidad conocida en los dispositivos utilizados para escanear códigos QR.

Quishing, por supuesto, es solo una técnica que Corea del Norte ha estado utilizando para aumentar sus reservas de efectivo y financiar su programa de armamento, que incluye permitir que ciudadanos norcoreanos se conviertan en parte de una fuerza laboral de TI remota que luego aprovechan su acceso interno para robar datos. El desafío, como siempre, es que cada día que pasa, las tácticas y técnicas que se utilizan para lograr ese objetivo se vuelven mucho más perniciosas.

Suscríbase al blog de Barracuda
Mike Vizard

Mike Vizard ha cubierto TI durante más de 25 años y ha editado o contribuido a varias publicaciones tecnológicas, incluidas InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet y Digital Review. Actualmente escribe en un blog para IT Business Edge y contribuye en CIOinsight, The Channel Insider, Programmableweb y Slashdot. Mike también escribe en un blog sobre tecnología emergente en la nube para SmarterMSP.

Conéctate con Mike en LinkedIn o Twitter.

Publicaciones relacionadas:
Automotive tech: A vast new cyber attack surface
Automotive tech: A vast new cyber attack surface
 Informe de Malware: Cuando la cadena de suministro se convierte en la superficie de ataque
Informe de Malware: Cuando la cadena de suministro se convierte en la superficie de ataque
 El riesgo oculto de ciberseguridad que acecha en tus extensiones del navegador
El riesgo oculto de ciberseguridad que acecha en tus extensiones del navegador
 Lo que los clientes realmente nos están diciendo cuando dicen "Queremos que el correo electrónico sea parte de la seguridad"
Lo que los clientes realmente nos están diciendo cuando dicen "Queremos que el correo electrónico sea parte de la seguridad"
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.