Rombo
Rombo con líneas discontinuas de color oscuro

Estafa QR en correo electrónico (quishing): cómo funciona y cómo frenarla

Estafa QR en correo: QR sin imagen con tabla HTML

Qué es el quishing y por qué está creciendo

En los últimos meses hemos visto cómo las campañas de phishing con códigos QR (quishing) se han vuelto más sutiles. El truco reciente que más nos preocupa es el QR “sin imagen”: en lugar de adjuntar una imagen, los atacantes “dibujan” el QR con una tabla HTML formada por celdas en blanco y negro. Eso rompe muchas detecciones basadas en imágenes y deja vía libre al engaño si alguien escanea el código desde el móvil. Esta técnica se observó en campañas enviadas entre el 22 y el 26 de diciembre y se documentó públicamente el 7 de enero de 2026.

En nuestra experiencia, este vector es delicado porque los filtros anti-spam que dependen del análisis de imágenes no “ven” un QR hecho con celdas; si además el correo usa un pretexto creíble (facturas, firma de documentos, “seguridad de cuenta”), la tasa de clic/escaneo sube mucho. SC Media resume que algunos QRs estaban maquetados como una tabla 35×35 y redirigían a sitios de robo de credenciales.

"La técnica… se basa en códigos QR sin imagen renderizados con una tabla HTML… su aparición en una campaña real recuerda que muchos controles defensivos aún dependen de suposiciones sobre cómo se representa el contenido malicioso." — SANS Internet Storm Center

Fuente: SANS Internet Storm Center (publicado 7/01/2026).

El truco del QR sin imagen con tablas HTML (explicado sencillo)

Un QR no es más que un mosaico de cuadrados. En vez de enviar una imagen (JPG/PNG), los atacantes crean una tabla de HTML con decenas de «<td>» y un «bgcolor» negro o blanco para cada celda. Visualmente vemos un QR, pero no hay imagen que analizar. SANS mostró un ejemplo con celdas de 4×4 píxeles y enlaces que apuntaban a subdominios del dominio «lidoustoo[.]click», personalizados por destinatario.

"El QR se mostró no con una imagen sino con una tabla HTML hecha de celdas con colores de fondo negro y blanco" — SANS Internet Storm Center

Por qué muchos filtros no lo ven (limitaciones reales)

  • Motores de visión: si un motor busca imágenes con QR, aquí no hay imagen, así que no dispara.
  • Heurística limitada: algunas pasarelas se centran en URLs claras o adjuntos, no en patrones de tablas.
  • Móvil y comportamiento: el QR se “consume” en el teléfono, fuera del entorno protegido del cliente de correo de escritorio; eso reduce la efectividad de ciertos controles.
  • Layout minimalista: los correos vistos eran muy simples, con poco texto y el QR centrado, lo que complica reglas basadas en contenido.

"Los correos tenían un diseño básico con poco texto, llamando a escanear el QR para revisar/firmar un documento." — Resumen basado en SANS y SC Media

Señales para detectarlo a simple vista (sin escanear)

Antes de acercar el móvil, nos fijamos en:

  1. Contexto sospechoso: urgencias (“tu cuenta será bloqueada”, “firma ahora”), remitentes impersonados (banca, mensajería, Microsoft 365).
  2. Maquetación “mosaico”: QRs que se ven ligeramente “aplastados” o con bordes irregulares (artefacto común cuando el QR se compone con celdas y tamaños fijos).
  3. Poco texto, mucho QR: plantillas muy escuetas que empujan a escanear en vez de pulsar un enlace normal.
  4. Cabeceras técnicas: si inspeccionamos el HTML (ver sección técnica), veremos muchos «<td bgcolor>» y tamaños repetidos.

Qué pasa si lo escaneamos: itinerario típico del fraude

  • Redirección a una landing “limpia” que después salta a un sitio que roba credenciales.
  • Impersonación de marcas (banca, Microsoft, mensajería) y MFA fatigue posterior para forzar segundas aprobaciones.
  • Peticiones de pago o de verificación con temporizador.

SC Media resume este flujo y advierte de la sofisticación del método.

"Escanear el QR… redirige a sitios de robo de credenciales; el QR tenía píxeles en una tabla 35×35, eludiendo mecanismos de análisis." — SC Media

Prevención en organizaciones y usuarios

Para usuarios (hábitos)

  • Desconfiamos de QR en correos no solicitados. Si realmente necesitamos acceder, buscamos la web oficial en el navegador.
  • Confirmamos por otro canal (teléfono oficial, app) antes de pagar o firmar nada.
  • En móvil, usamos navegador con protección y autenticador (no SMS) para MFA.

Para IT/SecOps (políticas rápidas)

  • Bloquear QRs en emails cuando no haya caso de uso legítimo.
  • Reglas de contenido en el SEG/ESP: si un HTML contiene matrices densas de «<td>» con «bgcolor» y tamaño uniforme, marcar como sospechoso.
  • Reescritura/aislamiento de URL vía sandbox, y banner de advertencia si el correo contiene un QR o patrón de tabla característico.
  • Formación continua: simular campañas con QR y medir respuesta.

"Controles puramente técnicos no pueden parar todo el contenido potencialmente malicioso… debemos reforzar también la concienciación del usuario." — SANS Internet Storm Center

Checklist técnico (para equipos de seguridad)

Detección en pasarela de correo (ideas de heurística)

  • Umbral de densidad de «<td>»: por ejemplo, >900 celdas con «bgcolor» alterno y anchos/altos repetidos.
  • Detección de tablas 25×25 a 35×35 con patrón binario (negro/blanco).
  • Anomalías de layout: «<table role=»presentation» border=»0″ cellpadding=»0″ cellspacing=»0″ width=»180″ height=»180″>» con celdas repetitivas de 4px (patrón observado).
  • Señuelos comunes en asunto/cuerpo: “review and sign”, “security alert”, “invoice”.

Playbook de respuesta

  1. Cuarentena del mensaje y bloqueo de dominio/subdominios relacionados (p. ej., patrones como *.lidoustoo.click).
  2. Aviso a destinatarios potencialmente expuestos con pasos para rotar credenciales.
  3. Búsqueda retroactiva (IOC + patrones HTML) en el almacén de correo.
  4. Actualización de formación y banners contextuales.

Preguntas frecuentes

¿Cómo detectar un QR malicioso en correo electrónico sin escanearlo?

Buscamos señales de pretexto urgente, QR dominante y, si podemos ver el código fuente, muchos «<td bgcolor>» con tamaños repetidos que “dibujan” un mosaico.

¿Por qué los filtros anti-spam no detectan un QR en tablas HTML?

Porque algunos mecanismos se centran en imágenes con QR; aquí no hay imagen, solo HTML. Además, el proceso suele completarse en el móvil del usuario.

¿A dónde suelen redirigir estos QRs y qué buscan?

A sitios de robo de credenciales y páginas que impersonan banca o suites de productividad para capturar acceso.

¿Qué políticas podemos aplicar en Microsoft 365 o Google Workspace?

Crear reglas que marquen tablas densas con «bgcolor», aislar enlaces (safe links/sandbox), añadir banners para QRs y fortalecer MFA. (Buenas prácticas derivadas de los hallazgos reportados).

¿La técnica es nueva?

No es totalmente nueva, pero su uso en campañas reales recientes la ha puesto en primer plano y ha evidenciado puntos ciegos en detecciones.

Conclusión

El quishing con QR sin imagen nos recuerda que los atacantes innovan en presentación, no solo en contenido. Nuestra defensa debe mirar el HTML, no solo los adjuntos o enlaces, y combinar controles técnicos con educación del usuario. Con políticas adecuadas en la pasarela de correo y hábitos simples, podemos reducir drásticamente el riesgo.

Protege hoy tu correo con Bitralix

Hosting y seguridad de correo en un mismo equipo: bloquea el quishing y gana visibilidad con Bitralix.

Protege tu correo de estafas QR con Bitralix
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.