SCyberTip 

Campañas de QRshing camino al mundial de futbol 2026

Diana Tadeo
Post Views: 4

Descripción de la amenaza

Durante eventos de gran interés público, como la Copa Mundial de la FIFA 2026 —que se celebrará en México, Estados Unidos y Canadá del 11 de junio al 19 de julio—, los ciberdelincuentes aprovechan la alta demanda de boletos, hospedaje, transporte, mercancía, promociones y servicios digitales asociados al evento para ejecutar distintos tipos de fraude. En este contexto, el QRShing, también conocido como “quishing” o phishing mediante códigos QR, representa un riesgo relevante, ya que permite ocultar enlaces maliciosos detrás de códigos que pueden ser distribuidos por correo, SMS, mensajería instantánea, redes sociales, anuncios impresos, pósters o materiales físicos.

Mediante estos engaños, los atacantes suelen redirigir a los usuarios a sitios fraudulentos para el robo de credenciales, datos personales, datos bancarios o pagos no autorizados. También pueden inducir la descarga de aplicaciones o archivos maliciosos en dispositivos móviles. El siguiente reporte tiene como finalidad proporcionar información acerca de los ataques de tipo QRShing y algunos pretextos que pueden surgir aprovechando la fiebre mundialista. Además, se brindan recomendaciones para reducir la probabilidad de ser afectados por esta amenaza.

Análisis

El QRShing es una variante del phishing en la que el enlace malicioso no se presenta directamente como texto o botón, sino codificado dentro de un código QR. A diferencia de un enlace visible en un correo o sitio web, el código QR puede dificultar la inspección previa del destino. En muchos casos, el usuario escanea el código desde un teléfono móvil, donde la URL se muestra parcialmente o por poco tiempo. Además, si el QR se encuentra dentro de una imagen o archivo adjunto, puede evadir controles de seguridad diseñados para analizar enlaces en texto. Microsoft reportó que, durante el primer trimestre de 2026, el phishing mediante códigos QR incrementó 146%, pasando de 7.6 millones de ataques en enero a 18.7 millones en marzo.

Durante el periodo mundialista, esta técnica puede utilizarse para suplantar sitios de venta de boletos, campañas de patrocinadores, promociones de mercancía, registros de aficionados, supuestas filas virtuales, descuentos de hospedaje o servicios de transporte. La amenaza es relevante porque la FIFA advierte que los boletos adquiridos fuera del sitio oficial “FIFA.com/tickets” pueden implicar riesgos de fraude, estafas o boletos inválidos.

Códigos QR maliciosos en correos, mensajes y sitios web

En esta modalidad, los atacantes envían correos electrónicos, mensajes SMS, mensajes por aplicaciones de mensajería (como WhatsApp y Telegram) o realizan publicaciones en redes sociales (como FaceBook e Instragram) que contienen un código QR. El mensaje suele estar diseñado aparentar estar relacionada con el Mundial, como la preventa de boletos, una confirmación de reserva, un sorteo, una promoción de mercancía, un proceso de validación de cuenta o un supuesto problema de pago.

El objetivo es convencer al usuario de escanear el código y direccionarlo a una página fraudulenta. Una vez dentro, el sitio puede solicitar credenciales, datos de tarjetas, información personal, códigos de autenticación o pagos. En otros casos, el sitio puede intentar inducir la descarga de aplicaciones o archivos maliciosos.

El QRShing no se limita únicamente al correo electrónico o a los mensajes móviles. Los atacantes también pueden colocar códigos QR falsos en espacios físicos, como carteles, anuncios, folletos, supuestas promociones, estacionamientos, zonas turísticas, restaurantes, transporte o materiales impresos. El FBI advierte que algunos estafadores pueden pegar códigos QR falsos sobre códigos legítimos, por lo que cualquier señal de manipulación física debe considerarse una alerta.

Durante el Mundial 2026, este tipo de técnica podría observarse en zonas de alta afluencia de aficionados ya sea alrededores de estadios, aeropuertos, hoteles, bares, puntos turísticos o eventos relacionados con el torneo, entre otros. Otros pretextos podrían ser acceso a mapas, Wi-Fi, promociones, estacionamiento, transporte, registro de fan zones, descuentos de mercancía o información de partidos.

¿Cómo los identifico?

Un código QR debe considerarse sospechoso cuando aparece en un mensaje, anuncio o material que el usuario no esperaba, especialmente si se acompaña de mensajes de urgencia, premios, descuentos extraordinarios o solicitudes de información sensible.

A continuación, se enlistan algunos indicios que pueden ayudar a identificar un posible intento de QRShing:

  • El mensaje indica que la reserva, el boleto, el acceso, el premio o el descuento expirará si no se escanea el código de inmediato.
  • El código QR proviene de un correo, mensaje de SMS, mensaje de WhatsApp, red social, volante o anuncio que no fue solicitado por el usuario.
  • La URL mostrada después de escanear contiene errores ortográficos, dominios extraños, palabras adicionales o no coincide con el dominio oficial esperado.
  • El QR dirige a sitios que solicitan credenciales, contraseñas, códigos MFA, datos bancarios, pasaporte, CURP/RFC u otros datos sensibles.
  • El sitio solicita descargar una aplicación, archivo, “verificador de boletos” o “lector especial” para continuar.
  • El QR está pegado como etiqueta sobre otro código, luce manipulado, mal impreso, desalineado o añadido sobre material que parece legítimo.
  • La página utiliza logotipos de FIFA, patrocinadores, aerolíneas, hoteles o tiendas oficiales, pero no existe una relación verificable con el dominio o canal oficial.
  • El sitio o mensaje ofrece precios muy bajos, paquetes VIP, boletos “garantizados”, mercancía con descuentos poco realistas o premios a cambio de pagos mínimos.
Figura 1. Ejemplo de una campaña que utiliza QRShing

Con base en las advertencias oficiales sobre códigos QR maliciosos y en los patrones de fraude documentados alrededor del Mundial 2026, los siguientes pretextos son plausibles para campañas de QRShing durante el evento:

  • Confirmación de boletos o preventas: el QR supuestamente permite pagar, validar o liberar boletos antes de que expire una reserva.
  • Filas virtuales o acceso prioritario: el QR redirige a una página que simula un sistema de espera o acceso exclusivo para comprar entradas.
  • Fan zones, mapas, Wi-Fi o transporte: el QR promete información útil para aficionados, pero redirige a sitios fraudulentos o descargas maliciosas.
  • Promociones de patrocinadores: el QR ofrece mercancía, jerseys, álbumes, coleccionables o premios a cambio de datos personales o pagos de envío.
  • Hospedaje, vuelos y paquetes turísticos: el QR redirige a formularios de reserva falsos o sitios de pago no autorizados.
  • Aplicaciones falsas: el QR invita a descargar una app de boletos, mapas, resultados, streaming o verificación de acceso que no proviene de tiendas oficiales.
  • Criptoactivos o coleccionables falsos: el QR promueve tokens, NFTs, airdrops o “productos oficiales” no autorizados vinculados al Mundial.
Figura 2. Ejemplo de una publicación legitima (izquierda) y una falsa (derecha)

A continuación, se muestra un diagrama de flujo de cómo los ciberdelincuentes realizan este tipo de ataques.

Figura 3. Flujo de ataque de un ataque de QRshing

Recomendaciones para QRshing

  • Evitar escanear códigos QR que provengan de correos, mensajes, publicaciones, anuncios, documentos o materiales inesperados, especialmente si apelan a urgencia, premios, descuentos, bloqueos de cuenta o beneficios por tiempo limitado.
  • Antes de abrir el sitio, revisar la URL que muestra el dispositivo. Verificar si contiene errores ortográficos, dominios extraños, acortadores, palabras adicionales o direcciones que no correspondan con el sitio oficial esperado.
  • Cuando se trate de pagos, acceso a cuentas, trámites, reservaciones, compras o cualquier operación que involucre información sensible, ingresar manualmente al sitio oficial desde el navegador o desde la aplicación legítima, en lugar de acceder directamente desde el código QR.
  • No ingresar contraseñas, códigos de autenticación multifactor (MFA), datos bancarios, información de tarjetas, documentos de identidad u otra información sensible en sitios abiertos desde un código QR no verificado.
  • No descargar aplicaciones, APKs, lectores de QR, supuestos verificadores, extensiones, archivos o actualizaciones desde sitios abiertos mediante códigos QR. Utilizar únicamente tiendas oficiales de aplicaciones o sitios legítimos del proveedor.
  • En espacios físicos, revisar si el código QR parece una etiqueta sobrepuesta, está dañado, desalineado, mal impreso o muestra señales de manipulación. Si existe duda sobre su legitimidad, evitar escanearlo.
  • Desconfiar de códigos QR asociados con promociones demasiado atractivas, descuentos exagerados, premios inesperados, pagos mínimos, temporizadores agresivos o mensajes de “última oportunidad”.
  • Confirmar por canales oficiales cualquier solicitud recibida mediante un código QR, especialmente si el sitio solicita iniciar sesión, realizar pagos, actualizar información, validar una cuenta o proporcionar datos personales.
  • Evitar escanear códigos QR desde dispositivos corporativos si el origen del código no es confiable o no está relacionado con una actividad laboral legítima.
  • En organizaciones, reforzar controles de seguridad para analizar códigos QR embebidos en correos, documentos ofimáticos, imágenes y páginas web.
  • Promover campañas de concientización para que los usuarios identifiquen y reporten correos, mensajes, documentos, anuncios o materiales físicos con códigos QR sospechosos.
  • Reportar códigos QR sospechosos al área de seguridad, mesa de ayuda, proveedor del servicio o plataforma correspondiente, según aplique.

Recomendaciones de contención

En caso de ser víctima de alguno de estos ataques, se recomienda realizar las siguientes acciones:

  • Cambia tus contraseñas de inmediato: Modifica las credenciales de las cuentas que puedan haberse visto comprometidas, especialmente si reutilizas contraseñas en otros servicios.
  • Activa la autenticación multifactor (MFA): Habilita un segundo factor de autenticación para añadir una capa adicional de seguridad a tus cuentas y disminuir la posibilidad de que un desconocido acceda a ellas incluso teniendo las credenciales.
  • Contacta a la institución afectada: Si proporcionaste datos bancarios o financieros, informa de inmediato a tu banco o proveedor de servicios para que puedan tomar medidas preventivas, como bloquear cuentas, cancelar transferencias o monitorear actividad sospechosa.
  • Revisa la actividad de tus cuentas: Verifica movimientos recientes, inicios de sesión desconocidos o cambios no autorizados, y repórtalos cuanto antes.
  • Elimina aplicaciones o archivos descargados: Si instalaste una aplicación o descargaste un archivo desde el QR, elimínalo y revisa los permisos concedidos.
  • Analiza tu dispositivo: Si descargaste o ejecutaste archivos, realiza un escaneo completo con un antivirus o solución de seguridad confiable para detectar y eliminar posible malware.
  • Desconecta temporalmente el dispositivo (si es necesario): Si sospechas una infección, desconéctate de internet para evitar la comunicación con servidores maliciosos mientras se analiza el equipo con el antivirus o solución de seguridad.
  • Conserva evidencia: Guarda capturas del QR, mensaje, URL, sitio web, comprobantes de pago, fecha, hora y canal por el que fue recibido.
  • Reporta el incidente: Informa al área de seguridad de tu organización, al proveedor afectado, a la plataforma donde se publicó el QR y, si aplica, a autoridades o centros de denuncia de fraude.