Por Angel Di Matteo 𝕏 @shadowargelEl grupo Kimsuky APT, respaldado por Corea del Norte, estaría usando códigos QR para evadir filtros de seguridad y robar credenciales en campañas dirigidas a expertos en política norcoreana.
***
- El FBI detectó campañas de quishing contra ONG, universidades y demás organizaciones en 2025.
- Los ataques usan códigos QR escaneados desde teléfonos personales para evadir controles.
- Las intrusiones permiten robar sesiones y eludir la autenticación de dos o más factores.
🚨 Alerta del FBI: hackers norcoreanos usan códigos QR para infiltrarse en instituciones
El grupo Kimsuky APT evade filtros de seguridad
Dirigen ataques a ONG y universidades vinculadas a Corea del Norte
Esquema quishing roba credenciales mediante escaneos en teléfonos… pic.twitter.com/3gaFS8poKB
— Diario฿itcoin (@DiarioBitcoin) January 9, 2026
El FBI advirtió que el grupo de hackers Kimsuky APT, vinculado al Estado norcoreano, está utilizando códigos QR maliciosos para comprometer organizaciones estadounidenses relacionadas con el análisis, la investigación y la formulación de políticas sobre Corea del Norte.
La advertencia fue difundida mediante un boletín FBI FLASH durante 2025 y compartida con organizaciones no gubernamentales, universidades y entidades con vínculos gubernamentales. Según la agencia, todos los objetivos tenían un elemento en común: su trabajo se centra directa o indirectamente en Corea del Norte, reseña Cryptopolitan.
El FBI señaló que esta campaña marca un cambio táctico relevante. En lugar de enlaces tradicionales, los atacantes emplean códigos QR, una técnica conocida como quishing, diseñada para eludir los mecanismos clásicos de detección de phishing en entornos corporativos.
Cómo operan las campañas de quishing de Kimsuky
De acuerdo con el FBI, Kimsuky APT ejecuta campañas de spearphishing altamente personalizadas que aprovechan códigos QR ocultos en correos electrónicos diseñados según el perfil profesional de cada objetivo. Estos mensajes aparentan provenir de fuentes legítimas vinculadas al ámbito académico, diplomático o de investigación.
Uno de los factores críticos es que las víctimas casi siempre escanean los códigos QR desde teléfonos móviles personales y no desde computadoras de trabajo. Esto permite que los enlaces maliciosos evadan filtros de correo, escáneres de enlaces y herramientas de sandboxing que normalmente interceptan ataques de phishing tradicionales.
Los códigos QR redirigen a infraestructuras controladas por los atacantes, donde se activan mecanismos de robo de credenciales, captura de sesiones o suplantación de identidades en servicios en la nube, según detalló la agencia.
Correos temáticos y suplantación creíble
El FBI indicó que durante 2025 el grupo utilizó múltiples correos electrónicos temáticos, cada uno alineado con los intereses y funciones del destinatario. En mayo, los atacantes se hicieron pasar por un asesor extranjero y contactaron a un líder de un think tank para solicitar opiniones sobre acontecimientos recientes en la península coreana.
Ese mensaje incluía un código QR que supuestamente abría un cuestionario. Al escanearlo, la víctima era redirigida a infraestructura maliciosa controlada por Kimsuky APT, según indicó el FBI.
Más adelante ese mismo mes, el grupo se hizo pasar por un trabajador de una embajada y envió un correo a un investigador sénior de un think tank. El mensaje solicitaba aportes sobre derechos humanos en Corea del Norte y el código QR prometía acceso a una unidad segura de almacenamiento.
En otro caso registrado en mayo, un correo fingía provenir de un empleado interno de un think tank. El escaneo del código QR conducía directamente a servidores diseñados para actividades maliciosas, indicó la agencia.
Robo de credenciales y toma de cuentas
En junio de 2025, el FBI reportó que Kimsuky APT atacó a una firma de asesoría estratégica mediante una invitación a una conferencia inexistente. El correo incluía un código QR que llevaba a una supuesta página de registro del evento.
Al pulsar el botón de registro, los usuarios eran redirigidos a una página falsa de inicio de sesión de Google. Esta página recolectaba nombres de usuario y contraseñas, una actividad que el FBI asoció con técnicas de robo de credenciales clasificadas como T1056.003.
Según la agencia, muchas de estas operaciones culminan en el robo y la reutilización de tokens y credenciales de usuarios. Este proceso permite a los atacantes eludir la autenticación de dos o más factores sin generar alertas típicas de fallos de MFA, lo que facilita la toma silenciosa de cuentas en servicios en la nube.
Un vector de ataque difícil de detectar
El FBI explicó que estos ataques suelen comenzar en teléfonos personales, lo que los coloca fuera del alcance de las herramientas tradicionales de detección de endpoints y monitoreo de red corporativa. Una vez comprometida una cuenta, los atacantes ajustan configuraciones, amplían accesos y mantienen el control de forma persistente.
Las cuentas de correo comprometidas se utilizan luego para enviar nuevos correos de spearphishing dentro de la misma organización, ampliando el alcance del ataque sin levantar sospechas inmediatas.
“Las operaciones de quishing con frecuencia terminan en robo y reutilización de tokens de sesión, lo que permite a los atacantes eludir la autenticación multifactor y secuestrar identidades en la nube sin activar alertas típicas”, señaló el FBI.
La agencia añadió que, por estas características, el quishing es considerado ahora un vector de intrusión de identidad con alta confiabilidad y resistencia a MFA en entornos empresariales.
Recomendaciones del FBI para mitigar el riesgo
El FBI instó a las organizaciones a reforzar la concienciación interna sobre los riesgos asociados al escaneo de códigos QR provenientes de correos electrónicos, cartas o material impreso no solicitado. También recomendó entrenar al personal para identificar señales de urgencia falsa y suplantación de identidad.
Según la agencia, los empleados deben verificar cualquier solicitud asociada a códigos QR mediante contacto directo antes de iniciar sesión o descargar archivos. Además, se deben establecer reglas claras para reportar incidentes de este tipo de forma inmediata.
Entre las medidas técnicas, el FBI recomendó el uso de autenticación multifactor resistente al phishing para todos los accesos remotos y sistemas sensibles, así como la revisión periódica de privilegios de acceso bajo el principio de menor privilegio y auditorías regulares para detectar permisos excesivos o cuentas sin uso.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresario acusado de fraude cripto por EEUU fue detenido y deportado a China
Hacker estaría lavando unos USD $27,3 millones a través de Aave y Tornado Cash, reporte
Flow enfrenta críticas por planes para reescribir su Blockchain tras exploit millonario
