JunkMail
Volver al blog

La estafa del código QR: La historia de Chloé y el email que parecía tan normal

El phishing ya no se esconde solo en los enlaces. Descubre la historia de Chloé y cómo un simple código QR casi le cuesta sus datos.

Por Leadership Team25/1/2026

Lunes por la mañana, 9:30 AM. Chloé está frente a su ordenador, en medio del ajetreo habitual. El teléfono suena, las notificaciones se acumulan y la lista de tareas pendientes parece alargarse a cada minuto. Mientras clasifica sus correos, detecta uno que destaca. El remitente parece ser el "Soporte Técnico" de su empresa, y el asunto es inequívoco: "Acción requerida: Confirme su sesión para evitar la suspensión de su cuenta".

El correo es impecable. El logo, los colores, la fuente... todo es familiar. El mensaje explica que, debido a una nueva política de seguridad, todos los empleados deben volver a autenticarse. Para ello, no hay un enlace en el que hacer clic —nos han repetido tantas veces que desconfiemos de ellos— sino un código QR. "Vaya, esto es nuevo", piensa Chloé. "Es moderno, debe de ser el nuevo procedimiento oficial. Una imagen es probablemente más segura que un enlace".

Apremiada por el tiempo, coge su teléfono y escanea el código. Su navegador se abre en una página de inicio de sesión que es una réplica perfecta del portal de su empresa. El pequeño candado está ahí, la dirección parece correcta a primera vista. Sin más preámbulos, introduce su nombre de usuario, su contraseña y pulsa enter. La página se actualiza, redirigiéndola a la intranet habitual. Asunto zanjado.

O eso cree ella. Chloé acaba de entregar, sin saberlo, las llaves de su reino digital a unos piratas. Ha sido víctima de Quishing.

El truco de magia detrás del código QR

La historia de Chloé podría ser la de cualquiera. Ilustra perfectamente por qué esta nueva estafa es tan formidable.

1. El moderno Caballo de Troya El guardaespaldas de nuestro correo electrónico está entrenado para detectar enlaces sospechosos en el texto de un email. Pero aquí no hay enlace, solo una imagen. Para el software de seguridad, es solo un cuadrado blanco y negro, tan inofensivo como la foto de un gato. La trampa pudo así colarse por la red y aterrizar en una bandeja de entrada supuestamente bien protegida.

2. El cómplice en tu bolsillo El ataque comenzó en el ordenador de Chloé, que está protegido por los escudos de seguridad de la empresa. Pero el golpe de gracia lo dio su teléfono personal. Al escanear el código, utilizó su propio dispositivo, que opera en otra red, fuera de la fortaleza de seguridad de la empresa. Es un brillante truco de manos entre dos mundos, uno seguro y otro no.

3. La confianza, enemiga de la prudencia En restaurantes, para pagar el aparcamiento, para subir a un tren... hemos sido condicionados a ver los códigos QR como atajos prácticos e inofensivos. Los piratas lo saben. Explotan esta confianza casi ciega, añadiendo una buena dosis de estrés ("¡Su cuenta será suspendida!") para hacernos actuar rápido, demasiado rápido.

¿Cómo no ser la próxima Chloé?

La buena noticia: frustrar esta trampa es más sencillo de lo que parece. Solo necesitas activar un superpoder que todos tenemos: la curiosidad.

  • El juego del "¿Por qué yo, por qué así?". Tómate un segundo para reflexionar. ¿Por qué tu departamento de TI o tu banco usarían un código QR para una acción tan sensible? Es extremadamente raro. Ante la duda, ignora el correo, abre una nueva pestaña e inicia sesión en el servicio como lo harías normalmente.

  • Juega al detective. Antes de que tu teléfono abra la página, a menudo muestra una pequeña vista previa de la URL. Tómate el tiempo de leerla. microsft-support.com no es microsoft.com. secure-login.net no es el sitio web de tu empresa. Una sola letra puede revelar toda la estafa.

  • El arma secreta: El alias de correo electrónico. ¿Y si Chloé hubiera usado alias? Un alias es como una tarjeta de identificación para cada servicio. Para Microsoft, usaría chloe.microsoft@mialias.com. Si recibe el correo malicioso en su dirección chloe.shopping@mialias.com, el engaño es obvio. ¿Por qué le escribiría Microsoft a su dirección de compras? Es una comprobación de coherencia instantánea que los piratas no pueden superar.

¿Qué hacer si has escaneado el código? Si estás leyendo esto y la historia de Chloé te resulta familiar, no entres en pánico.

  1. Cambia inmediatamente tu contraseña en el sitio web oficial del servicio en cuestión.
  2. Activa la autenticación multifactor (MFA) si aún no lo has hecho.
  3. Informa del correo como "Phishing" o "Spam" en tu cliente de correo.

La moraleja

La desventura de Chloé nos enseña una cosa: las mejores estafas son las que se camuflan en nuestra vida cotidiana. El Quishing es astuto, pero su éxito depende enteramente de nuestra prisa. En nuestra carrera por la eficiencia, la seguridad es lo primero que sacrificamos.

La próxima vez que veas un código QR en un correo electrónico, piensa en Chloé. Respira hondo y concédete esos tres segundos de duda que marcan la diferencia. Es tu mejor defensa.