QRcito

· 7 min

Quishing: qué es, cómo funciona y cómo protegerte de las estafas con códigos QR

Quishing o QR phishing: cómo los atacantes usan códigos QR para robar contraseñas y datos bancarios. Casos reales, señales de alerta y cómo protegerte.

Quishing: qué es, cómo funciona y cómo protegerte de las estafas con códigos QR

El quishing es phishing realizado a través de un código QR. En vez de un enlace en un email, el atacante coloca un QR físico o digital que, al escanearlo, lleva a una web fraudulenta diseñada para robar contraseñas, datos bancarios o instalar malware.

Respuesta rápida

  • "Quishing" = QR + phishing. El QR es solo el vehículo; el ataque ocurre en la web a la que redirige.
  • Casos comunes: pegatinas falsas en parquímetros, menús de restaurante manipulados, falsos QR de pago, cargadores de móvil falsos en aeropuertos, emails con QR adjunto.
  • Antes de escanear: comprueba que el QR no es una pegatina pegada encima de otro.
  • Al escanear: la mayoría de móviles muestran la URL antes de abrirla. Léela.
  • Nunca introduzcas contraseñas o datos bancarios en una web a la que has llegado escaneando un QR físico desconocido.

¿Qué es el quishing?

El quishing (de QR + phishing) es un tipo de ataque en el que el ciberdelincuente usa un código QR para llevar a la víctima a una web maliciosa sin que esta sospeche.

Funciona porque:

  • El usuario no ve la URL antes de escanear (el QR es opaco al ojo humano).
  • Los códigos QR no se distinguen entre legítimos y maliciosos a simple vista.
  • El móvil baja las defensas que sí tendría con un correo o un enlace web (en el correo el dominio se ve, en un QR no).

El objetivo del atacante puede ser:

  • Robar credenciales (banco, redes sociales, email corporativo).
  • Cobrar pagos a webs fraudulentas que imitan a las reales.
  • Instalar malware o spyware en el móvil.
  • Recopilar datos personales para revenderlos.

¿Cómo funciona un ataque de quishing?

El esquema típico tiene tres pasos:

  1. El atacante crea un QR que apunta a una web bajo su control. La web suele imitar visualmente a una marca conocida (banco, parquímetro, servicio público, restaurante).
  2. Lo coloca donde la víctima lo vaya a escanear sin sospechar: pegado encima del QR original en un cartel público, dentro de un email aparentemente legítimo, en un cargador de móvil falso, en una pegatina sobre un menú de restaurante.
  3. La víctima escanea, llega a la web falsa y rellena los datos creyendo que es la real.

El último paso es el de siempre — phishing clásico. Lo nuevo es el primer paso: el QR como gancho que el usuario no puede inspeccionar.

Casos típicos documentados

Los más habituales:

  • Parquímetros: pegatinas con QR falsos pegadas encima del QR real. El conductor escanea, llega a una pasarela de pago falsa, "paga" el parking y los datos de su tarjeta van al atacante.
  • Restaurantes: pegatina sobre el QR de la carta digital. La web falsa pide email o datos para "ver el menú".
  • Falsos formularios de Hacienda o multas: QR en una carta postal que parece oficial.
  • Cargadores públicos en aeropuertos: QR con instrucciones falsas de "configuración".
  • Emails corporativos: el QR llega adjunto en un PDF para "validar tu sesión de Microsoft 365" o similar. Esquiva los filtros antiphishing del email porque la URL vive dentro de una imagen.
  • Carteles publicitarios manipulados en metro, autobuses y mobiliario urbano.

El patrón común: lugares donde la gente espera escanear un QR y no se lo cuestiona.

Cómo identificar un QR sospechoso antes de escanear

Inspección visual rápida:

  • ¿Es una pegatina pegada encima de algo? Mira de cerca. Una pegatina sobre un cartel impreso es la señal más clara de manipulación.
  • ¿Está en un sitio improvisado (papel grapado, esquina rota)? Sospecha.
  • ¿Coincide visualmente con la marca que dice ser? Logos pixelados, colores raros, errores tipográficos en el texto cercano.
  • ¿Te lo han enviado por email y no esperabas un QR? Verifica primero por otro canal.

Si tienes dudas, no escanees. Busca el sitio web oficial directamente.

Cómo protegerte al escanear

La mayoría de móviles modernos te dan una capa de protección si la usas bien:

  1. Espera a que aparezca la URL antes de tocarla. En iPhone (iOS 11+) y Android (10+) la cámara muestra primero la URL como notificación. No la abras automáticamente.
  2. Lee el dominio. Si dice ser "tu banco" pero la URL es banc0-acceso.xyz, es falsa. Mira sobre todo el dominio principal (lo que está justo antes del primer /).
  3. Desconfía de URLs acortadas en QR físicos. Un QR legítimo de un comercio normalmente no esconde la URL detrás de un acortador.
  4. No introduzcas credenciales en webs a las que has llegado escaneando un QR público que no controlas. Si te piden login, abre tú mismo la app o el sitio oficial desde cero.
  5. Para pagos: si vas a pagar tras escanear un QR, comprueba que la URL es la pasarela de pago oficial y no un dominio extraño que la imita.

Qué hacer si ya has caído

Pasos inmediatos si has introducido datos en una web sospechosa:

  • Cambia las contraseñas de los servicios afectados desde otro dispositivo.
  • Si diste datos bancarios: llama a tu banco y bloquea la tarjeta. Revisa movimientos recientes.
  • Activa la verificación en dos pasos en todas las cuentas críticas si no la tenías.
  • Reporta el fraude a la oficina de ciberseguridad de tu país (en España, INCIBE).
  • Si sospechas malware en el móvil: revisa apps instaladas recientemente, ejecuta un antivirus de móvil reputado, considera restablecer el dispositivo.

Para empresas: cómo proteger los QR que tú colocas

Si tu negocio usa QRs (restaurantes, eventos, transporte, retail), también eres objetivo: si un atacante coloca pegatinas sobre tus QR, el daño reputacional es tuyo.

Buenas prácticas:

  • Imprime el QR sobre el soporte, no en pegatinas separables. Mucho más difícil de manipular.
  • Plastifica o protege los carteles con QR en exterior.
  • Revisa periódicamente los QR físicos de tu negocio, especialmente los de pago.
  • Usa tu propio dominio en el destino del QR. Dominios genéricos o acortadores son sospechosos por sí mismos.
  • Forma a tu equipo para detectar pegatinas sospechosas en los soportes de tu negocio.
  • Avisa a tus clientes si descubres una manipulación.

¿Es peligroso generar mis propios QR?

Generar tu propio QR no es un riesgo — el QR que tú creas para tu web, tu WiFi o tu vCard no es maligno. El riesgo está en los QR ajenos que escaneas.

Eso sí, al generar tus QR conviene cuidar dos cosas:

  • Que tu generador no exfiltre los datos que introduces (especialmente importante si codificas contraseñas WiFi, datos personales en vCard o información de pago). Usa generadores que trabajen 100% en el navegador y no requieran cuenta.
  • Que el QR apunte a un dominio que controlas tú. Evita acortadores intermedios cuando puedas: cualquier compromiso del acortador convierte tus QR en armas para terceros.

QRcito genera los QR íntegramente en tu navegador y no usa redirección. El destino del QR es exactamente lo que tú escribes.

En resumen

El quishing es phishing tradicional con un envoltorio nuevo: el código QR. El vector de ataque favorito es la pegatina manipulada en lugares donde la gente espera escanear sin pensar. La defensa es leer la URL antes de abrirla, desconfiar de pegatinas sospechosas y no introducir credenciales en webs a las que has llegado por un QR no verificado.

Para tus propios QR, asegúrate de generarlos en herramientas que no envíen tus datos al servidor y que no introduzcan redirecciones que tú no controlas.

Preguntas frecuentes

¿Es lo mismo quishing que phishing? Casi. El quishing es phishing en el que el cebo es un QR en vez de un enlace o un correo. La parte fraudulenta sigue ocurriendo en una web maliciosa.

¿Puede un código QR instalar un virus solo con escanearlo? No directamente. El QR no contiene código ejecutable; solo datos (normalmente una URL). El daño ocurre en lo que pase después: si la URL te lleva a descargar una app maliciosa o a una web fraudulenta, ahí está el riesgo.

¿Es seguro escanear un QR en un restaurante o un cartel oficial? Suele ser seguro, pero verifica que no haya pegatinas pegadas encima del original. Si la URL que muestra el móvil parece extraña o usa un acortador, no la abras.

¿Sirve un antivirus para detectar quishing? Algunos lectores de QR de pago tienen filtros contra dominios maliciosos. La mayoría de cámaras nativas no, pero sí muestran la URL antes de abrirla. Esa URL es tu primera línea de defensa.

¿Cómo sé si la web a la que me ha llevado un QR es oficial? Mira el dominio principal en la barra del navegador, comprueba el certificado HTTPS, y compara con la web oficial buscándola tú mismo en Google. Si no coincide al 100%, no introduzcas datos.

Artículos relacionados

¿Te están trackeando los generadores de códigos QR? Cómo verificarlo Cómo crear un código QR para tu tarjeta de visita (vCard) gratis QR para WhatsApp: cómo crear uno con mensaje predefinido (gratis y sin app)

← Volver al blog