Quishing: fraudes con códigos QR

Los códigos QR se han vuelto cotidianos: menús, parquímetros, entradas o campañas publicitarias. Precisamente por esa normalidad, se han convertido en un canal más para el fraude. El quishing (QR + phishing) consiste en usar códigos QR maliciosos para llevar a la víctima a una web falsa, robar credenciales o instalar software dañino.

El reto es que un QR no “se lee” a simple vista: no vemos la URL real hasta después de escanear. Eso da ventaja al atacante, sobre todo cuando el código está en un lugar físico y parece oficial. Entender el quishing ayuda a evitar acciones impulsivas y a aplicar hábitos simples de verificación.

En este artículo te explicamos cómo detectar el quishing y cómo actuar si has escaneado un QR sospechoso. Estas pautas te ayudarán a distinguirlos de los QR legítimos, utilizados en canales oficiales y cuyo uso es seguro.

En un fraude típico, el delincuente coloca o distribuye un QR que parece legítimo. Al escanearlo, el móvil redirige a un destino controlado por el atacante. A partir de ahí, suelen darse dos caminos:

• Robo de datos: una web clonada pide iniciar sesión, confirmar identidad o introducir datos de pago.
• Infección del dispositivo: la web intenta forzar una descarga, instalar malware o pedir permisos que no encajan con lo esperado.

El QR se asocia a rapidez y confianza (“escaneo y listo”) y oculta el enlace hasta el último momento. Además, en soporte físico es fácil sustituirlo: basta con pegar una etiqueta encima.

El INCIBE (Instituto Nacional de Ciberseguridad) advierte que los delincuentes imprimen QR falsos y los colocan en lugares accesibles; al escanearlos, el usuario puede acabar en webs maliciosas que roban datos o instalan malware. El Banco de España también ha descrito casos como pegatinas sobre códigos auténticos y multas falsas con QR que llevan a pagos fraudulentos.

• Restaurantes y comercios: Sustitución del QR del menú o del pago por otro pegado encima.
• Parquímetros y transporte: Códigos manipulados para pagar en una web falsa que imita a la oficial.
• Carteles y folletos: Promociones, premios o “avisos” que empujan a actuar con urgencia.
• Correo electrónico: Un QR en el email para que lo escanees con el móvil y llegues a un login falso.

Idea clave: el QR suele ser solo el “puente”; el fraude real ocurre en la web de destino.

Las pistas están en el soporte y en la URL. Algunas señales útiles:

• El código parece una pegatina sobre otra (bordes levantados, doble capa).
• El mensaje promete urgencia o amenaza (“cuenta bloqueada”, “multa”, “último aviso”).
• La URL es sospechosa: dominio raro, letras cambiadas o acortadores.
• La web pide datos sensibles que no encajan (p. ej., credenciales para ver un menú).
• Te pide instalar una app o descargar un archivo desde un origen desconocido.

No se trata de dejar de usar QR, sino de aplicar “fricción inteligente”. Estas prácticas ayudan:

1. Inspección rápida: Comprueba si el QR está manipulado o superpuesto.
2. Previsualiza la URL: Lee el enlace antes de abrirlo; si no coincide con lo esperado, cancela.
3. Cuidado con enlaces acortados: Mejor no abrirlos. Si necesitas hacerlo, comprueba a dónde apuntan.
4. Canal oficial si hay datos: Si te piden credenciales o pago, sal y entra desde la app oficial o escribiendo la URL completa.
5. No compartas códigos: No confirmes códigos de un solo uso, permisos o datos sensibles “en caliente”.

Actuar rápido puede limitar el daño:

• Cierra la página y no completes formularios ni descargas.
• Si introdujiste credenciales, cambia la contraseña desde el canal oficial y activa doble factor.
• Revisa movimientos y alertas si hubo datos financieros implicados.
• Si instalaste algo, desinstálalo y pasa un análisis de seguridad.
• Guarda evidencias (foto del QR, URL) y comunica el incidente; si procede, denuncia.

Revisa periódicamente los QR expuestos y usa soportes difíciles de manipular (materiales antivandálicos o sellos). Añadir alternativas (URL visible, menú físico, pago en TPV) reduce la dependencia del QR y limita el impacto si alguien lo sustituye.

El quishing aprovecha la confianza en los QR para llevarte a un enlace malicioso. La defensa más eficaz es simple: revisar el código, leer la URL y usar canales oficiales cuando haya datos sensibles. Con estas rutinas, el QR vuelve a ser una herramienta útil y no una puerta de entrada al fraude.

Aviso importante: Contenido informativo. Si sospecha un fraude, utilice canales oficiales y solicite ayuda.