TheVortiq
Futuro del trabajo

Quishing: la nueva estafa con códigos QR que ya está vaciando cuentas

Los ciberdelincuentes aprovechan la confianza en los QR para robar datos bancarios y personales. Aprende a identificar las señales de peligro.

16 de julio de 2026 · 6 min de lectura

black android smartphone displaying qr code
Foto de Markus Winkler en Unsplash

¿Qué es el quishing y por qué está creciendo?

El quishing (QR + phishing) es una técnica de fraude en la que los ciberdelincuentes utilizan códigos QR maliciosos para engañar a las víctimas. Al escanear el código, la persona es dirigida a una página falsa que imita a un servicio legítimo (banca online, redes sociales, etc.) con el objetivo de robar credenciales o instalar malware. Según ZDNet, esta modalidad ha proliferado porque los usuarios confían en los códigos QR sin verificar su origen, y porque los atacantes pueden evadir filtros antiphishing tradicionales que analizan enlaces en correos. El quishing no es un fenómeno completamente nuevo; sus primeras variantes surgieron alrededor de 2010, cuando los códigos QR empezaron a popularizarse en campañas de marketing. Sin embargo, fue durante la pandemia de COVID-19 cuando el uso de QR se disparó: restaurantes, aerolíneas y eventos adoptaron menús y pases digitales sin contacto, creando un ecosistema ideal para los estafadores. Según datos de la empresa de ciberseguridad Check Point, los ataques de quishing aumentaron un 587% entre 2020 y 2023. Además, los filtros antiphishing convencionales, que analizan texto y enlaces en correos electrónicos, no pueden detectar un código QR embebido en una imagen, lo que convierte al quishing en una amenaza especialmente sigilosa.

¿Cómo operan los estafadores?

Los atacantes colocan códigos QR en lugares concurridos (parquímetros, restaurantes, carteles publicitarios) o los envían por correo electrónico haciéndose pasar por entidades legítimas. Al escanear, la víctima es redirigida a una web que solicita datos sensibles. Un ejemplo común es el falso código QR de un estacionamiento que dirige a una página de pago fraudulenta. ZDNet advierte que también pueden aparecer en volantes o correos que simulan ser de empresas de mensajería o servicios públicos. En algunos casos, los atacantes pegan etiquetas QR sobre códigos legítimos en parquímetros o cajeros automáticos, una técnica conocida como “QR sticker swapping”. También se han reportado casos en los que envían correos electrónicos simulando ser del departamento de recursos humanos de una empresa, solicitando escanear un QR para actualizar datos bancarios. Una vez que la víctima introduce sus credenciales, los atacantes pueden realizar transferencias, acceder a cuentas corporativas o instalar malware como troyanos bancarios. ZDNet destaca que los estafadores explotan la confianza del usuario: al ver un QR, muchas personas asumen que es seguro porque lo han usado antes en contextos legítimos.

¿Por qué es importante ahora?

El uso de códigos QR se disparó durante la pandemia y se ha normalizado en restaurantes, eventos y pagos. Los ciberdelincuentes han aprovechado esta familiaridad para lanzar campañas masivas. Además, los teléfonos móviles, al ser el principal dispositivo para escanear QR, suelen tener menos protecciones que los ordenadores. La falta de educación digital sobre este riesgo hace que muchos usuarios caigan en la trampa. Según un estudio de la firma de seguridad Ivanti, el 75% de los usuarios no verifica la URL de un código QR antes de hacer clic. Esto es especialmente peligroso porque, a diferencia de un enlace en un correo, el QR no muestra su destino hasta que se escanea. Además, los teléfonos móviles carecen de las barreras de seguridad que tienen los ordenadores, como firewalls avanzados o extensiones antiphishing en los navegadores. La pandemia no solo aumentó el uso de QR, sino que también normalizó la interacción digital sin contacto, lo que redujo la desconfianza natural hacia estos códigos. Eventos como el Super Bowl o conciertos masivos han sido escenario de campañas de quishing, donde los asistentes escanean códigos para acceder a mapas o promociones falsas.

Consecuencias para empresas y usuarios

Para los usuarios, las consecuencias pueden ser el robo de identidad, pérdidas económicas y acceso no autorizado a cuentas. Para las empresas, el quishing puede dañar su reputación si sus clientes son víctimas de códigos falsos que imitan su marca. Además, las compañías deben invertir en campañas de concienciación y en tecnologías de verificación de códigos. Un caso emblemático es el de una importante cadena de estacionamientos en Estados Unidos, donde los atacantes pegaron QR falsos en los parquímetros, redirigiendo a los usuarios a un sitio de pago fraudulento. Esto no solo afectó a los conductores, sino que también generó una crisis de confianza hacia la empresa. Para las organizaciones, el quishing puede traducirse en filtraciones de datos, multas regulatorias (como las impuestas por el GDPR en Europa) y costos de remediación. Un informe de la empresa de ciberseguridad Barracuda Networks señala que el costo promedio de un ataque de quishing para una empresa mediana es de 1.2 millones de dólares, considerando pérdidas directas, daño reputacional y gastos en respuesta a incidentes.

¿Cómo detectar y evitar el quishing?

  • Inspecciona el código QR: si está pegado sobre otro original, es sospechoso. Los atacantes suelen usar adhesivos de baja calidad que se notan al tacto o al observar bordes irregulares.
  • Comprueba la URL: antes de introducir datos, revisa que la dirección web sea la oficial. Busca errores ortográficos o dominios extraños. Muchos teléfonos muestran una vista previa de la URL antes de abrirla; acostúmbrate a leerla detenidamente.
  • No escanees códigos de fuentes no confiables: evita escanear QR en lugares públicos si no estás seguro de su procedencia. En restaurantes, pide el menú impreso o verifica que el código QR esté en un lugar fijo y no sea una pegatina.
  • Usa aplicaciones de seguridad: algunos antivirus móviles como Kaspersky o Bitdefender pueden analizar enlaces QR antes de abrirlos, bloqueando aquellos que sean maliciosos.
  • Activa la autenticación multifactor: incluso si roban tus credenciales, el segundo factor puede detener el acceso. Esto es especialmente importante en cuentas bancarias y de correo electrónico.
  • Desconfía de correos inesperados: si recibes un correo de una entidad conocida pidiéndote escanear un QR, verifica la legitimidad contactando directamente con la empresa por otros canales.

¿Qué hacer si has sido víctima?

Si escaneaste un código QR y entregaste datos, cambia inmediatamente tus contraseñas, contacta con tu banco y supervisa tus cuentas. Reporta el incidente a las autoridades de ciberseguridad de tu país, como el INCIBE en España o el CISA en Estados Unidos. ZDNet recomienda también limpiar el historial del navegador y revisar permisos de aplicaciones, ya que algunos códigos QR pueden llevar a sitios que descargan malware sin que el usuario lo sepa. Si has introducido información bancaria, notifica a tu entidad para que congelen la tarjeta o la cuenta. Además, considera realizar un escaneo de seguridad en tu teléfono con una herramienta antimalware. Mantén un registro de todas las acciones realizadas para facilitar la investigación.

El futuro del quishing

Los expertos anticipan que los ataques serán más sofisticados, utilizando códigos QR dinámicos que cambian de destino o combinándose con técnicas de ingeniería social. Por ejemplo, ya se han visto ataques que utilizan códigos QR que llevan a páginas que imitan el inicio de sesión de Microsoft 365, solicitando credenciales corporativas. También se espera que los atacantes integren quishing con otras tácticas, como el vishing (phishing por voz) o el smishing (phishing por SMS), para crear campañas multicanal. La educación continua y el uso de herramientas de verificación serán clave para mitigar el riesgo. Las empresas están desarrollando soluciones como escáneres de QR que verifican la reputación del dominio antes de abrir la página, y los sistemas operativos móviles podrían incorporar alertas de seguridad al escanear códigos. Sin embargo, la responsabilidad última recae en el usuario: mantenerse informado y escéptico ante cualquier código QR que prometa ofertas demasiado buenas o urgencia en la acción.

Puntos clave

  • El quishing aprovecha la confianza en códigos QR para robar credenciales.
  • Los códigos falsos se colocan en parquímetros, restaurantes o se envían por correo.
  • Inspeccionar el código y verificar la URL son medidas clave de prevención.
  • La autenticación multifactor reduce el riesgo incluso si roban tus datos.
  • Las empresas deben educar a sus clientes sobre este tipo de estafa.

Preguntas frecuentes

¿Qué es el quishing?

Es una variante del phishing que utiliza códigos QR maliciosos para dirigir a las víctimas a sitios web falsos donde se roban datos personales o bancarios.

¿Cómo puedo identificar un código QR fraudulento?

Busca signos como códigos pegados sobre otros, URLs con errores ortográficos o dominios extraños. Si el código está en un lugar público, verifica con el establecimiento.

¿Qué hago si caigo en un ataque de quishing?

Cambia tus contraseñas inmediatamente, contacta a tu banco, monitorea tus cuentas y reporta el incidente a las autoridades de ciberseguridad.

Fuentes utilizadas

Comentarios

Sé el primero en comentar.

Deja tu comentario