Microsoft Threat Intelligence publicó su informe sobre el panorama de amenazas de correo electrónico del primer trimestre de 2026 el 30 de abril. La cifra principal fue de 8.300 millones de amenazas de phishing por correo electrónico detectadas en los primeros tres meses del año. Los volúmenes mensuales fueron de 2.900 millones en enero a 2.600 millones en marzo, lo que parece un descenso hasta que se lee lo que realmente estaba creciendo dentro de esos números.
El phishing por código QR, una técnica que los investigadores de seguridad denominan “quishing”, creció un 146% durante el trimestre, pasando de 7,6 millones de ataques en enero a 18,7 millones en marzo. Fue el vector de ataque de mayor crecimiento registrado en el informe. Solo en marzo, los códigos QR incrustados directamente en el cuerpo de los correos, en lugar de en archivos adjuntos, se dispararon un 336%. El phishing bloqueado por CAPTCHA más que se duplicó en el mismo mes.
Estas cifras representan el volumen de ataques detectados y bloqueados. Las campañas que lograron pasar inadvertidas no están, por definición, en el recuento.
La campaña Quish Splash: cómo los atacantes pasaron todos los filtros
En marzo de 2026, investigadores de seguridad de 7AI publicaron un análisis de una operación de quishing que denominaron “Quish Splash”. La campaña se desarrolló en tres oleadas entre el 26 de febrero y el 18 de marzo de 2026. Los investigadores observaron inicialmente 28 correos de phishing que llegaron a bandejas de entrada empresariales sin ser detectados. Cuando examinaron la infraestructura de seguimiento del atacante, la escala real de la campaña quedó clara: más de 1,6 millones de correos entregados a organizaciones de múltiples sectores en menos de tres semanas.
Los correos pasaron la autenticación SPF, DKIM y DMARC. No porque esos controles fallaran, sino porque los atacantes los habían configurado correctamente en su propio dominio.
Vale la pena detenerse en esto. Los atacantes no suplantaron el dominio de una marca legítima. Registraron un dominio propio, publicaron registros SPF válidos, configuraron la firma DKIM y establecieron una política DMARC. Los correos llegaron a los servidores de correo receptores aparentando ser exactamente lo que afirmaban ser: mensajes autenticados de una fuente de envío conocida.
El contenido malicioso era invisible para todos los escáneres de texto en la ruta de entrega. Los atacantes codificaron las URL de phishing dentro de archivos de imagen BMP adjuntos a los mensajes. No apareció ningún enlace en el cuerpo del correo que un escáner de URL pudiera evaluar. Cada destinatario recibió un código QR único incrustado en la imagen, lo que burló los sistemas de detección por muestra masiva. Al escanear el código QR, la víctima era redirigida a una página de recopilación de credenciales y, como el usuario había pasado de un portátil protegido por la empresa a un dispositivo móvil personal, también dejó atrás las herramientas de seguridad que su empleador había desplegado.
Qué detiene y qué no detiene DMARC
La campaña Quish Splash ilustra un límite importante en lo que DMARC puede proteger.
DMARC detiene la suplantación de dominio. Si un atacante quiere enviar correos que parezcan provenir del dominio de tu organización, un registro DMARC con p=reject indica a todos los servidores de correo del mundo que rechacen esos mensajes. El atacante no puede suplantar con éxito la identidad de correo de tu dominio sin pasar la autenticación SPF o DKIM para ese dominio. Esa protección es real, se aplica globalmente y elimina toda una categoría de ataques que de otro modo escalarían sin ninguna barrera técnica.
Lo que DMARC no detiene es a un atacante que registra un dominio nuevo, lo autentica correctamente y lo utiliza para llevar a cabo una campaña. En la operación Quish Splash, DMARC funcionó exactamente como estaba diseñado: identificó correctamente el dominio remitente como autenticado. El problema no fue el resultado de la autenticación. El problema fue que el dominio autenticado estaba controlado por atacantes.
Comprender este límite no es un argumento en contra de DMARC. Es un argumento para entender qué hace cada control en una arquitectura de seguridad. DMARC pertenece a la postura de seguridad del correo electrónico de toda organización. Simplemente no hace innecesarias las demás capas de defensa.
Por qué los códigos QR evaden la seguridad estándar del correo electrónico
La mecánica por la que los códigos QR evaden los controles convencionales de seguridad del correo electrónico es sencilla una vez que se entiende lo que esos controles realmente analizan.
Los filtros de spam, los escáneres de URL y las herramientas de análisis de contenido operan principalmente sobre texto. Extraen enlaces de los cuerpos de los correos y del HTML, comprueban esos enlaces en bases de datos de inteligencia sobre amenazas, evalúan el texto del mensaje en busca de patrones sospechosos y puntúan el mensaje según lo que encuentran.
Una URL de phishing codificada como código QR dentro de un archivo de imagen es invisible para todo este proceso. No existe ningún enlace en el texto del correo que un escáner pueda extraer. La imagen en sí contiene la amenaza, pero el análisis de imágenes para la detección de códigos QR incrustados es costoso computacionalmente y no era un componente estándar en la mayoría de las arquitecturas de pasarelas de correo electrónico cuando el phishing por QR era algo novedoso.
El phishing por código QR dejó de ser una novedad hace tiempo. El quishing representó el 12% de todos los ataques de phishing a nivel mundial en 2025, frente al 0,8% en 2021. Solo Mimecast detectó más de 716.000 códigos QR maliciosos únicos en un solo trimestre de 2025. La técnica se ha industrializado, y las organizaciones que construyeron su seguridad de correo en torno a la detección basada en texto tienen un hueco significativo.
El problema del dispositivo móvil
Hay una segunda capa en la efectividad del quishing que no tiene nada que ver con la tecnología de seguridad del correo electrónico.
Cuando un empleado escanea un código QR en un correo en su portátil de trabajo, normalmente lo hace con su teléfono móvil personal. En el momento en que eso ocurre, la sesión pasa de un dispositivo bajo la gestión de seguridad de la organización a un dispositivo que puede no tener ninguna herramienta de seguridad empresarial: sin detección de endpoints, sin filtrado web, sin inspección de certificados, sin aplicación de políticas de acceso condicional.
Un atacante que lleva una página de phishing QR al navegador móvil de un empleado opera en un entorno donde la organización tiene muy poca visibilidad y aún menos control. Aunque el portátil del empleado hubiera bloqueado la URL de phishing, el teléfono podría no hacerlo.
El informe del primer trimestre de Microsoft documentó un cambio correspondiente en las técnicas de los atacantes: el 78% de las amenazas por correo electrónico eran basadas en enlaces, pero la tendencia hacia los códigos QR y la entrega de cargas maliciosas en imágenes se enmarca explícitamente como una respuesta a la mejora de los defensores en el análisis de enlaces. Los atacantes se adaptan a lo que los controles de seguridad realmente comprueban, y llevan años adaptándose para eludir los escáneres de correo electrónico basados en texto.
Cómo es una defensa por capas en la práctica
La respuesta correcta al quishing no es abandonar los fundamentos de seguridad del correo electrónico. Es añadir las capas que el quishing realmente requiere.
La aplicación de DMARC en tu propio dominio sigue siendo esencial. Los atacantes de Quish Splash no suplantaron el dominio de nadie. Pero muchas otras campañas de quishing sí suplantan dominios legítimos para añadir credibilidad a sus señuelos. Tu registro DMARC con p=reject impide que tu dominio sea utilizado como identidad suplantada en esas campañas. También protege a tus destinatarios de recibir correo suplantado que parezca venir de ti. Esa protección importa aunque no detenga directamente una campaña de dominio nuevo al estilo Quish Splash.
Los informes DMARC revelan tu huella de autenticación. Los informes agregados de tu registro DMARC muestran cada fuente que envía correo en nombre de tu dominio. Si los atacantes están probando o analizando tu dominio, o si un proveedor en tu cadena de suministro está siendo utilizado como relay sin saberlo, esa actividad suele aparecer en los datos de informes agregados antes de aparecer en cualquier otro lugar.
Los controles de pasarela con reconocimiento de códigos QR abordan el hueco de detección. Varios de los principales proveedores de seguridad de correo electrónico han añadido la extracción de imágenes con código QR y el análisis de enlaces a sus sistemas de análisis en los últimos dieciocho meses. Si tu pasarela de seguridad de correo no incluye esta capacidad, los números de Quish Splash ilustran lo que cuesta ese hueco.
BIMI hace que la identidad del remitente legítimo sea visualmente verificable. Un logotipo de marca visible en una bandeja de entrada habilitada para BIMI es una señal de que el dominio remitente ha superado la aplicación de DMARC y completado la verificación VMC de terceros. No detiene las campañas de quishing con dominios nuevos, pero ofrece a los destinatarios una señal positiva fiable para identificar el correo legítimo de tu marca, lo que hace que los mensajes suplantados sean más fáciles de reconocer por contraste.
La gestión de dispositivos móviles y el filtrado web para dispositivos móviles gestionados cierran la brecha del cambio de dispositivo. Si los empleados escanean códigos QR en dispositivos móviles gestionados con filtrado web aplicado, la sesión permanece dentro del perímetro de seguridad de la organización. Los dispositivos personales no gestionados siguen siendo una brecha, pero reducir el número de escenarios en los que la sesión de una víctima queda completamente fuera de la cobertura de seguridad empresarial reduce la superficie de ataque.
La tendencia más amplia detrás de los números
El crecimiento del 146% en el phishing por código QR en un solo trimestre no es una sorpresa para los investigadores que llevan siguiendo esta técnica desde 2023. Es una consecuencia predecible de que los defensores mejoran en una cosa y los atacantes responden cambiando a otra.
El phishing de credenciales representó el 94% de los ataques basados en cargas maliciosas en marzo de 2026, según los datos de Microsoft. El objetivo de la campaña es consistente: conseguir que el objetivo introduzca sus credenciales. El mecanismo de entrega es variable: enlaces, adjuntos, códigos QR, barreras CAPTCHA, cualquier técnica que eluda la generación actual de detección a escala. Cuando una técnica se detecta de forma más fiable, el volumen se desplaza a otra.
La interrupción que Microsoft realizó en marzo del servicio de phishing-as-a-service Tycoon2FA provocó que el volumen de correos asociado cayera un 15% durante el resto del mes. El grupo se adaptó cambiando de proveedores de alojamiento. El volumen se recuperó. El patrón es consistente en toda la historia de los ataques basados en correo electrónico: las campañas que se interrumpen se adaptan y regresan, y el volumen agregado está determinado más por la economía del atacante que por cualquier intervención defensiva aislada.
Los controles que siguen siendo efectivos a lo largo de esta evolución son los que operan sobre propiedades que son más difíciles de falsificar para los atacantes. La identidad del remitente autenticado, verificada por DMARC frente a SPF y DKIM, es una de esas propiedades. Un dominio malicioso nuevo puede autenticarse, pero no tiene reputación, ni historial establecido, ni reconocimiento de marca. Esas señales, combinadas con la autenticación del remitente, forman una superficie de detección más duradera que el análisis de contenido por sí solo.
Excello Mail te ofrece visibilidad completa sobre el estado de autenticación de tu dominio – análisis de informes agregados, descubrimiento de fuentes, gestión de políticas DMARC y orientación de aplicación en una plataforma gestionada. Regístrate gratis en excello.email →