Cómo prevenir las estafas de quishing o con códigos QR
Plan de artículo
Probablemente hayas escaneado docenas de códigos QR este mes sin pensarlo dos veces: en un restaurante, en un parquímetro o quizá en un terminal de pago en la caja. Esa confianza automática es precisamente lo que los estafadores están aprovechando en este momento, y las cifras son difíciles de ignorar.
El phishing mediante códigos QR —más conocido como «quishing»— aumentó un 587 % entre 2022 y 2023, y volvió a dispararse un 25 % en 2025, con más de 26 millones de estadounidenses ya redirigidos a sitios maliciosos de esta forma. Y aquí viene lo preocupante: solo el 39 % de los consumidores es capaz de detectar con fiabilidad los códigos QR infectados antes de que sea demasiado tarde, lo que significa que la gran mayoría los escanea a ciegas.
Entonces, ¿qué está pasando realmente, cómo lo consiguen los atacantes y qué puedes hacer al respecto? Analicémoslo.
El quishing (QR + phishing) es la práctica de ocultar enlaces peligrosos dentro de códigos QR para redirigir a las personas a sitios web falsos, robar credenciales o instalar malware. Piensa en ello como un clásico hackeo de código QR, pero envuelto en un formato que el ojo humano simplemente no puede descodificar.
Ese es el problema fundamental de la seguridad de los códigos QR: a diferencia de un enlace normal en un correo electrónico sobre el que puedes pasar el cursor y obtener una vista previa, un código QR no revela nada hasta que tu navegador ya ha cargado el destino. No hay ningún dominio mal escrito que detectar, ni ningún texto de anclaje sospechoso que llamar la atención. El peligro de los códigos QR es invisible por diseño, y eso es precisamente lo que hace que el quishing sea tan eficaz en comparación con las estafas tradicionales.
Por eso los códigos QR aparecieron en el 22 % de todos los ataques de phishing entre 2024 y 2025. Eluden la mayoría de los filtros de correo electrónico automatizados porque las herramientas de seguridad no pueden leer la URL codificada dentro de una imagen.
Comprender el panorama completo de las amenazas de los códigos QR te ayuda a reconocerlas antes de convertirte en una víctima. Estos son los patrones de ataque más comunes en 2025.
El método físico más extendido consiste en pegatinas con códigos QR falsos colocadas directamente sobre códigos legítimos: en parquímetros, mesas de restaurantes, señales de tráfico o expositores de tiendas. Crees que estás abriendo un enlace a un mapa o pagando en un terminal de pago. En realidad, los datos de tu tarjeta van directamente al portal falso de un estafador. Una rápida inspección física —comprobar si el código está plano o parece que tiene una capa superpuesta— puede salvarte por completo de esta estafa.
Dado que la gente suele escanear los códigos QR con sus teléfonos, las URL incrustadas eluden las herramientas de seguridad de escritorio, como los cortafuegos y los bloqueadores de URL de los dispositivos. Esto hace que el hackeo mediante códigos QR a través del correo electrónico sea especialmente eficaz. El mensaje parece provenir de Microsoft, de tu banco o del departamento de TI de tu empresa, con logotipos y un formato profesional.
Un significativo 27 % de estos ataques de quishing utiliza alertas falsas de autenticación multifactorial: «Tu sesión ha caducado: escanea para volver a verificar». Esa urgencia está diseñada para evitar que te lo pienses dos veces.
Este es uno de los peligros más ignorados al escanear códigos QR: solo a mediados de 2024 se detectaron medio millón de correos electrónicos de phishing con códigos QR incrustados en archivos PDF adjuntos. El documento parece legítimo —una factura, un extracto de prestaciones, un aviso de entrega— y el código QR que contiene parece un atajo muy práctico. La FTC también ha señalado un aumento de las estafas por correo postal, en las que los enlaces de malware con códigos QR llegan impresos en albaranes falsos o facturas de servicios públicos.
La evolución más reciente y preocupante de las amenazas de ciberseguridad de quishing implica páginas de phishing generadas por IA que son casi indistinguibles de las reales. Los atacantes ahora pueden crear en cuestión de minutos una página falsa y convincente de reserva o de inicio de sesión en PayPal, adaptada a un objetivo específico, con una imagen de marca realista y un texto personalizado. Esto ha dificultado considerablemente la prevención del fraude con códigos QR tanto para particulares como para organizaciones.
Pero la amenaza va mucho más allá de las páginas de inicio de sesión falsas. La IA se utiliza ahora en todas las fases del proceso de ataque, desde la selección del objetivo hasta la entrega y la evasión.
La implicación práctica es clara: las pistas visuales y contextuales que antes ayudaban a identificar una estafa están dejando de ser fiables. El escepticismo sobre la fuente —y no solo sobre la apariencia— es ahora el filtro más importante.
Los riesgos de seguridad de los códigos QR no se distribuyen de manera uniforme. Algunos sectores se enfrentan a una exposición mucho mayor debido a la naturaleza del uso que hacen de los códigos QR y al valor de los datos que manejan.
| Sector | Por qué es el objetivo | Vector de ataque habitual |
|---|---|---|
| Finanzas y banca | Credenciales de alto valor, datos de pago | Páginas de inicio de sesión falsas de aplicaciones bancarias, portales falsificados de PayPal/Venmo con recopilación de credenciales |
| Sanidad | Datos confidenciales de pacientes, sistemas heredados | Formularios de pacientes falsos enviados por correo electrónico, códigos QR en la documentación impresa de admisión |
| Educación | Gran base de usuarios, menor concienciación sobre la seguridad | Portales de inicio de sesión Wi-Fi falsos en el campus, códigos QR en materiales del curso en PDF |
| Comercio minorista y comercio electrónico | Procesamiento de pagos, gran afluencia de público | Estafas con pegatinas sobre terminales de pago legítimas, códigos falsos de descuento o de fidelización |
| Restaurantes y turismo | Alto uso de códigos QR, colocación en lugares públicos | Sustitución de los códigos QR de los menús por páginas de pedido falsas, portales de wifi falsos en los vestíbulos |
| Gobierno | Aprovechamiento de la confianza pública | Formularios de permisos falsos, portales de pago de impuestos falsificados que imitan sitios web oficiales |
| Logística | Urgencia en la entrega de paquetes | URL de seguimiento falsas enviadas por SMS, códigos QR en albaranes de entrega falsificados |
| Inmobiliaria | Transacciones de alto valor | Páginas falsas de anuncios inmobiliarios, formularios de firma de documentos fraudulentos, con robo de credenciales |
Los empleados del sector minorista tienen la tasa más alta de fallos a la hora de detectar actividades maliciosas relacionadas con los códigos QR, mientras que los sectores financiero, manufacturero y sanitario se encuentran sistemáticamente entre los más atacados. Cabe destacar que los problemas de seguridad con los códigos QR en el sector sanitario acarrean consecuencias especialmente graves: los datos de los pacientes, las credenciales de los seguros y los sistemas internos están en juego.
¡Crea
código QR ahora!
Coloque el enlace de su código QR, agregue el nombre de su QR, seleccione la categoría de contenido y genere.
A continuación, te ofrecemos una guía práctica para mantenerte a salvo, tanto si eres un usuario particular, el propietario de un negocio o el responsable de materiales de marketing que incluyen códigos QR.
La mayoría de los smartphones modernos muestran el enlace de destino inmediatamente después de escanear, antes de que el navegador cargue nada. Este hábito de diez segundos es la base de la seguridad de los códigos QR: no te lo saltes.
Al comprobar la URL, presta atención a:
Utiliza una aplicación segura para escanear códigos QR, no solo la cámara predeterminada de tu teléfono. Un verificador de seguridad de códigos QR adecuado marcará los dominios maliciosos conocidos antes de abrir nada, lo que te proporcionará una verdadera capa de protección en lugar de solo comodidad.
La detección de manipulaciones es una preocupación real en lugares muy transitados. Antes de escanear nada en público, fíjate bien: ¿el código está al ras de la superficie o parece ligeramente elevado? ¿Los bordes están limpios o parece una pegatina aplicada sobre otra cosa?
Esto es especialmente importante en parquímetros, estaciones de transporte público y cualquier lugar donde intervenga la seguridad de los pagos mediante códigos QR —precisamente los lugares a los que más se dirigen los estafadores, ya que la urgencia y la distracción juegan a su favor—.
Es aquí donde el phishing con códigos QR causa más daño. Las empresas legítimas —bancos, proveedores de software, departamentos de RR. HH.— no te piden que escanees un código QR para verificar tu identidad o restablecer tu contraseña por correo electrónico. Si recibes un mensaje de este tipo, ve directamente al sitio web oficial de la empresa escribiendo la dirección manualmente.
Nunca escanees un código QR de una imagen o un archivo PDF adjunto que no esperabas, por muy oficial que parezca. Esto también se aplica a los mensajes reenviados por WhatsApp y a los SMS: los hackers que utilizan códigos QR han ido mucho más allá del correo electrónico.
No todas las aplicaciones de escaneo ofrecen el mismo nivel de protección. Una cámara básica solo lee el patrón; un escáner de códigos QR realmente seguro compara activamente la URL de destino con bases de datos de amenazas en tiempo real. Busca aplicaciones que ofrezcan explícitamente funciones de seguridad para el lector de códigos QR: vista previa de la URL, detección de malware y comprobaciones de la reputación del dominio.
Verificar los códigos QR antes de actuar en consecuencia es el hábito más eficaz que puedes adquirir. Si una aplicación no te muestra el enlace antes de abrirlo, busca una que lo haga.
Presta atención a estas señales de alerta independientemente del contexto, ya sea que estés escaneando un código QR para una página de redes sociales, una red Wi-Fi, un contacto vCard o un enlace de pago:
Los errores ocurren: así es como puedes limitar el daño. Desconéctate inmediatamente del wifi y de los datos móviles para cortar la comunicación con el servidor del atacante. Realiza un análisis con una aplicación de seguridad móvil de confianza. Cambia todas las contraseñas introducidas tras el análisis, dando prioridad a las cuentas financieras y de trabajo. Comprueba el historial de instalaciones de tus tiendas de aplicaciones en busca de elementos desconocidos, revoca los permisos desconocidos y ponte en contacto con tu banco inmediatamente si se han utilizado datos de pago.
Si su organización utiliza códigos QR en campañas de marketing, procesos de comercio electrónico, anuncios inmobiliarios, formularios de admisión en centros de salud o menús de restaurantes, garantizar la seguridad de los códigos QR forma parte de su responsabilidad para con los usuarios.
Entre las medidas de seguridad eficaces para los códigos QR en las empresas se incluyen el uso de códigos estilizados con su logotipo y los colores de su marca (que son más difíciles de falsificar de forma convincente), comunicar claramente a los usuarios lo que deben esperar ver tras el escaneo e inspeccionar periódicamente los códigos expuestos al público en busca de signos de manipulación.
Además, la seguridad del generador de códigos QR es fundamental. Un generador de códigos QR realmente seguro comprueba la URL de destino en el momento de la creación, bloqueando enlaces maliciosos, spam y contenido prohibido antes de que el código se publique. Me-QR hace precisamente eso: cada código QR dinámico generado a través del servicio se comprueba automáticamente en busca de malware, contenido de phishing e incumplimientos de las políticas, de modo que ni tú ni tus clientes quedéis expuestos a riesgos de seguridad relacionados con los códigos QR a través de vuestros propios materiales.
Los peligros de usar códigos QR no son inherentes a la tecnología en sí misma, sino que residen en el destino al que lleva el código y en si te molestas en comprobarlo. Mantenerte a salvo no consiste en evitar los códigos QR, sino en saber qué buscar antes de escanear.
Comprueba la URL. Inspecciona el código físico. Utiliza un escáner de seguridad de códigos QR que realice la verificación por ti. Los estafadores detrás de estos ataques a los códigos QR cuentan con que la gente actúe de forma automática. Y, estadísticamente, tienen razón: el 61 % de las personas sigue escaneando sin comprobar a dónde lleva el código. Esa cifra es la verdadera vulnerabilidad. Elimina esa vulnerabilidad y ya habrás hecho más que la mayoría.
¡Gestiona tus códigos QR!
Recopile todos sus códigos QR en un solo lugar, vea estadísticas y cambie el contenido creando una cuenta
Regístrate
¿Fue útil este artículo?
¡Haga clic en una estrella para calificarlo!
¡Gracias por tu voto!
Calificación promedio: 5/5 Votos: 2
¡Sé el primero en calificar este post!
Cree códigos con nuestro generador de código QR gratuito. Interfaz comprensible, variedad para elegir el tipo de código QR y la capacidad de ver las estadísticas.
Descarga nuestra aplicación
¡Ahora es simple y fácil de crear y escanear códigos QR!
Legal
Nuestro boletín
Cree códigos con nuestro generador de código QR gratuito. Interfaz comprensible, variedad para elegir el tipo de código QR y la capacidad de ver las estadísticas.
Descarga nuestra aplicación
¡Ahora es simple y fácil de crear y escanear códigos QR!
Copyright © 2018- Me-Team
