El Ataque de Capa Física

El Quishing (QR Phishing) no es nuevo, pero en 2026 se ha industrializado en Medellín. El ataque se basa en la confianza ciega del usuario en la interfaz física.

Anatomía del Ataque

1. Overlay Físico: El atacante imprime un sticker con un QR malicioso.
2. Deployment: Se pega sobre el QR estático de un comercio legítimo o en publicidad callejera.
3. Payload: Al escanear, el usuario es redirigido a una pasarela de pago falsa (Phishing) o se ejecuta una descarga drive-by de malware.

Por qué los filtros tradicionales fallan

La mayoría de cámaras de celular ejecutan la lectura del QR automáticamente. Si el usuario no tiene habilitada la "Vista Previa de URL", el navegador abre el enlace malicioso antes de que el usuario pueda auditarlo.

Protocolo de Defensa

• Validación de Dominio: Nunca ingrese credenciales bancarias si la URL no coincide exactamente con la entidad.
• Desconfianza Física: Palpe el código. Si tiene relieve (es un sticker sobre otro), es un ataque activo.