El uso cotidiano de los códigos QR ha abierto una nueva puerta para el ciberespionaje. Grupos de amenazas vinculados a Corea del Norte están utilizando esta tecnología como vector principal en campañas de spear-phishing altamente dirigidas contra think tanks, universidades y organismos gubernamentales. La técnica, conocida como quishing, permite a los atacantes sortear muchas de las defensas tradicionales del correo corporativo y explotar un punto débil cada vez más común: el teléfono móvil del usuario.
La advertencia parte de un aviso reciente del FBI, que ha detectado un incremento sostenido de este tipo de ataques a lo largo de 2025. Según la agencia, los responsables son operadores del grupo Kimsuky, un actor de amenazas persistentes también conocido como APT43 y vinculado al aparato de inteligencia militar de Corea del Norte.
A diferencia del phishing tradicional, el quishing no se basa en enlaces visibles ni archivos adjuntos sospechosos. El gancho es un código QR incrustado en el cuerpo del correo electrónico. Al escanearlo, la víctima abandona el entorno relativamente protegido de su ordenador corporativo y accede a una web desde su móvil personal, un dispositivo que en muchos casos carece de controles de seguridad avanzados, soluciones EDR o supervisión de red.
Este simple cambio de contexto resulta clave para el éxito del ataque. Desde el punto de vista del atacante, el QR actúa como un bypass de las políticas empresariales y de los filtros de seguridad del correo electrónico. Desde el punto de vista de la víctima, el gesto de escanear un código se percibe como algo rutinario y de bajo riesgo, especialmente cuando el mensaje está bien contextualizado y procede, aparentemente, de una fuente legítima.
Un actor con experiencia en el engaño
Kimsuky no es un recién llegado al panorama del ciberespionaje. El grupo, vinculado al Reconnaissance General Bureau, lleva años perfeccionando campañas de spear-phishing diseñadas para engañar incluso a usuarios con cierto nivel de concienciación. Su especialidad ha sido históricamente la suplantación de identidades creíbles y el abuso de configuraciones defectuosas de autenticación del correo electrónico.
En 2024, las autoridades estadounidenses ya señalaron a este grupo por explotar políticas DMARC mal configuradas para enviar correos que aparentaban proceder de dominios legítimos. El salto al quishing no es, por tanto, una ruptura con su estrategia, sino una evolución lógica para aumentar la tasa de éxito de sus campañas.
Correos creíbles, objetivos muy concretos
Los ataques detectados en 2025 comparten un patrón claro. Los correos no se envían de forma masiva, sino que están cuidadosamente dirigidos a perfiles concretos dentro de organizaciones estratégicas. En algunos casos, los atacantes se hacen pasar por asesores extranjeros y solicitan opiniones sobre la situación en la península coreana a responsables de think tanks. En otros, simulan ser empleados de embajadas o compañeros de trabajo que comparten supuesta documentación sensible a través de un código QR.
Una vez escaneado, el código redirige a la víctima a infraestructuras controladas por los atacantes. Estas páginas pueden adoptar la forma de cuestionarios, repositorios “seguros” o portales de registro para eventos inexistentes. En todos los casos, el objetivo final es el mismo: robar credenciales, tokens de sesión o información que permita un acceso persistente a cuentas corporativas en la nube.
El talón de Aquiles de la autenticación multifactor
Uno de los aspectos más preocupantes de estas campañas es su capacidad para superar la autenticación multifactor. Según el aviso oficial, muchas operaciones de quishing terminan con el robo y la reutilización de tokens de sesión válidos. Esto permite a los atacantes acceder a servicios en la nube sin necesidad de introducir contraseñas ni generar alertas típicas de fallos de MFA.
Desde ese momento, el compromiso deja de ser puntual. Los atacantes pueden mantener el acceso, moverse lateralmente dentro de la organización y lanzar nuevas campañas de spear-phishing desde cuentas legítimas, aumentando exponencialmente el impacto del ataque y su credibilidad.
