Nueva campaña de qishing ataca pasarelas de pago e-commerce
Alerta por una nueva campaña de qishing en pasarelas de pago de e-commerce. Protege tu negocio y clientes usando nuestro generador de códigos QR.

La técnica de qishing (phishing basado en códigos QR) ha experimentado un aumento alarmante en su sofisticación. Recientemente, investigadores de seguridad han descubierto una nueva campaña global que afecta directamente a las pasarelas de pago integradas en plataformas de comercio electrónico (e-commerce). Esta campaña no se limita a enviar correos masivos con imágenes maliciosas; en su lugar, manipula dinámicamente las respuestas del lado del cliente para sustituir los códigos QR legítimos de pago por otros controlados por ciberdelincuentes.
En esta guía técnica analizaremos detalladamente cómo opera este ataque, las técnicas de evasión que utiliza y cómo puedes proteger tu negocio y tus clientes de este vector de amenaza emergente.
¿Qué es el qishing y cómo funciona en pasarelas de pago?
El concepto de qishing combina "QR Code" y "Phishing". Aunque el phishing tradicional suele apoyarse en hipervínculos de texto sencillos de filtrar, el qishing oculta la URL maliciosa dentro de una matriz bidimensional (el código QR).
Cuando un cliente realiza una compra en un e-commerce y selecciona como método de pago una pasarela que genera un código QR (muy común en pagos con criptomonedas, transferencias bancarias instantáneas o billeteras digitales), espera que ese código represente la dirección de facturación correcta del comercio.
En esta campaña, los atacantes explotan vulnerabilidades de inyección de scripts en el navegador (Cross-Site Scripting o XSS) o comprometen plugins de terceros dentro del gestor de contenido (CMS) del e-commerce. Cuando el servidor legítimo genera la pasarela de pago, un script malicioso intercepta la carga de la imagen del código QR y la reemplaza por una versión manipulada. El cliente escanea el código confiando en el entorno seguro del sitio web y autoriza una transacción que transfiere sus fondos directamente al atacante.
El modus operandi de la nueva campaña en e-commerce
Esta campaña ha llamado la atención de los analistas debido a su sofisticada infraestructura. No depende únicamente de la interacción por correo electrónico, sino que utiliza una combinación de tácticas para infiltrarse en el flujo de pago:
- Infiltración en la cadena de suministro: Los atacantes comprometen dependencias de JavaScript obsoletas utilizadas por las plantillas del checkout.
- Sustitución dinámica: Un script malicioso de apenas unas líneas monitorea el DOM buscando contenedores de imágenes vinculados a pasarelas de pago.
- Evasión de detección visual: El QR falso imita el diseño visual corporativo, incluyendo logotipos integrados en el centro del código, lo que incrementa la confianza de la víctima.
- Redirecciones encubiertas: La URL dentro del QR apunta a un servicio de acortamiento o redirección dinámica que valida el agente de usuario (User Agent) antes de mostrar el clon de la pasarela de pago para evitar que los escáneres automáticos de seguridad detecten el fraude.
A continuación se muestra un esquema simplificado del flujo del ataque en comparación con una transacción normal:
| Fase del Proceso | Flujo Legítimo | Flujo Comprometido (Qishing) |
|---|---|---|
| 1. Selección de pago | El cliente solicita pagar con código QR. | El cliente solicita pagar con código QR. |
| 2. Generación del QR | El servidor de la pasarela genera un QR único. | El script malicioso intercepta y genera un QR propio. |
| 3. Presentación al usuario | Se muestra el código QR con los datos del comercio. | Se muestra el código QR manipulado de los atacantes. |
| 4. Escaneo y Pago | El cliente paga y el dinero va a la tienda. | El cliente paga y el dinero va al ciberdelincuente. |
| 5. Confirmación | El e-commerce registra el pedido como pagado. | La sesión del cliente expira o muestra un error de red falso. |
Análisis técnico de evasión de sistemas tradicionales
Una de las razones por las cuales las pasarelas de seguridad de correo y los cortafuegos de aplicaciones web (WAF) tienen dificultades para detener el qishing es la naturaleza misma de las imágenes. Los motores de inspección tradicionales analizan el código HTML, los scripts y las reputaciones de enlaces de texto. Sin embargo, procesar una imagen, realizar un reconocimiento óptico de caracteres (OCR) y decodificar el código QR en tiempo real consume recursos de cómputo significativos.
Además, los atacantes emplean técnicas de ofuscación de URLs para que, incluso si el código QR es decodificado por un sistema automatizado, el enlace parezca legítimo. Por ejemplo, utilizan subdominios complejos o caracteres Unicode similares (ataques homógrafos) que engañan tanto a los algoritmos como a las personas.
Puedes profundizar sobre cómo se orquestan estas redirecciones maliciosas en nuestro análisis sobre identificar redirecciones URL de phishing y cómo los ciberdelincuentes manipulan la infraestructura de red.
Script en Python: Decodificación y auditoría de códigos QR
Para los desarrolladores y administradores de sistemas que deseen auditar las imágenes de códigos QR que genera su e-commerce, es posible automatizar el análisis con un script sencillo en Python. Este código descarga una imagen, extrae la URL codificada e inspecciona las redirecciones HTTP para verificar el destino final.
import requests
from PIL import Image
from pyzbar.pyzbar import decode
import urllib.parse
def analizar_codigo_qr(ruta_imagen):
print(f"[*] Analizando imagen: {ruta_imagen}")
try:
# Cargar y decodificar el código QR
img = Image.open(ruta_imagen)
codigos_decodificados = decode(img)
if not codigos_decodificados:
print("[-] No se encontraron códigos QR en la imagen.")
return
for codigo in codigos_decodificados:
url_detectada = codigo.data.decode('utf-8')
print(f"[+] URL detectada en el QR: {url_detectada}")
# Analizar la estructura del dominio
dominio = urllib.parse.urlparse(url_detectada).netloc
print(f"[*] Dominio de destino: {dominio}")
# Seguir redirecciones de forma segura
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'}
respuesta = requests.get(url_detectada, headers=headers, allow_redirects=True, timeout=5)
print(f"[+] URL final después de redirecciones: {respuesta.url}")
if respuesta.url != url_detectada:
print("[!] Advertencia: El código QR realiza redirecciones intermedias.")
except Exception as e:
print(f"[-] Ocurrió un error durante el análisis: {str(e)}")
# Ejemplo de uso
# analizar_codigo_qr("comprobante_pago.png")
Este script utiliza la biblioteca pyzbar para realizar la decodificación física de la matriz del QR y la librería requests para analizar las cabeceras y destinos finales. Es una excelente base para construir un monitor automatizado de integridad de archivos en tu e-commerce.
Cómo proteger tu e-commerce y a tus clientes
Para mitigar eficazmente el riesgo de qishing, se debe adoptar un enfoque de defensa en profundidad. La seguridad no puede depender de un único control. Considera las siguientes medidas esenciales:
- Firmado digital de QR: Implementa firmas criptográficas del lado del servidor para garantizar que las imágenes no hayan sido alteradas en tránsito por scripts inyectados.
- Seguridad de las dependencias: Realiza auditorías constantes de software (SAST/DAST) y utiliza herramientas para mitigar fallos antes de pasar a producción. Conoce más sobre este proceso en nuestra guía de auditoría de código SAST/DAST para desarrollo seguro.
- Monitoreo de integridad del DOM: Utiliza políticas de seguridad de contenido (CSP) estrictas que restrinjan la ejecución de scripts no autorizados y eviten que se carguen imágenes desde dominios externos maliciosos.
- Validación en dos pasos de transacciones: Muestra siempre el nombre del comercio y los últimos dígitos de la cuenta de destino en la pantalla de confirmación de la aplicación de pago del usuario, no solo en la web.
- Educación al usuario: Informa a tus clientes sobre cómo verificar que la barra de direcciones de su navegador sea segura antes de autorizar cualquier transacción tras escanear un código QR. Puedes leer más acerca de los vectores de ataque social en nuestro artículo sobre hacking humano e ingeniería social.
Conclusión
El qishing representa una evolución lógica de la ingeniería social, adaptada al uso cotidiano de dispositivos móviles y códigos QR en transacciones rápidas. Al atacar de manera invisible las pasarelas de pago de e-commerce, los ciberdelincuentes logran saltarse controles tradicionales y desviar sumas importantes de dinero. La prevención activa mediante CSP, auditoría de scripts y validación robusta de URLs es vital para mantener la confianza en el comercio digital.
Si necesitas generar códigos QR con total seguridad para tu negocio o uso personal, te invitamos a probar nuestro Generador de códigos QR. A diferencia de otras alternativas comerciales en internet, nuestra herramienta procesa los datos de forma local en tu navegador sin almacenar tu información ni redirigir a enlaces sospechosos de terceros.
Fuentes y lecturas recomendadas:
- Cybersecurity and Infrastructure Security Agency (CISA) — Guías y alertas sobre técnicas de phishing basadas en códigos QR.
- World Wide Web Consortium (W3C) — Estándares de Content Security Policy (CSP) para la protección del DOM.
- Post relacionado en TecnoCrypter: Qishing: la estafa de los códigos QR
- Post relacionado en TecnoCrypter: Malware del portapapeles y estafas con QR


