Hackers norcoreanos utilizan códigos QR infectados para apoderarse de sistemas informáticos

El FBI ha publicado un aviso para alertar a ONGs, centros de investigación, instituciones académicas y otros expertos en política exterior vinculados a Corea del Norte sobre las nuevas tácticas empleadas por Kimsuky, el grupo de ciberamenazas patrocinado por el Estado norcoreano, y para ofrecer recomendaciones de mitigación. Desde 2025, los actores de Kimsuky han atacado centros de investigación, instituciones académicas y entidades gubernamentales estadounidenses y extranjeras con códigos QR maliciosos integrados en campañas de phishing selectivo. Este tipo de ataque se conoce como quishing.

Quishing (phishing de códigos QR) es una técnica de phishing en la que los atacantes insertan URL maliciosas en códigos QR para obligar a las víctimas a cambiar de su terminal corporativo a un dispositivo móvil, eludiendo así los controles de seguridad tradicionales del correo electrónico.

Las campañas de quishing suelen enviar imágenes QR como archivos adjuntos o gráficos incrustados. Tras el escaneo, las víctimas son redirigidas a través de redireccionadores controlados por el atacante que recopilan atributos del dispositivo y de identidad, como el agente de usuario, el sistema operativo, la dirección IP, la configuración regional y el tamaño de la pantalla, para presentar selectivamente páginas de recolección de credenciales optimizadas para dispositivos móviles que suplantan portales de Microsoft 365, Okta o VPN.

Las operaciones de quishing permite a los atacantes eludir la autenticación multifactor y secuestrar identidades en la nube sin activar las típicas alertas de "MFA fallida". Los adversarios establecen entonces persistencia en la organización y propagan el phishing selectivo secundario desde el buzón comprometido. Dado que la ruta de ataque se origina en dispositivos móviles no administrados, fuera de los límites normales de Detección y Respuesta de Endpoints (EDR) e inspección de red, el quishing se considera ahora un vector de intrusión de identidad de alta confianza y resistente a la MFA en entornos empresariales.