Estafas con códigos QR (quishing): la amenaza que se oculta a plena vista
Las estafas con códigos QR, llamadas quishing, están en auge en 2026. Aprende cómo los códigos QR falsos roban tu dinero y datos, dónde los colocan los estafadores y cómo escanear con seguridad antes de tocar.
· Truvizy Research Team · 8 min read
TL;DR
El quishing es el phishing mediante códigos QR: los estafadores reemplazan códigos QR legítimos en menús de restaurantes, parquímetros, etiquetas de paquetes y carteles públicos con códigos que redirigen a sitios que roban credenciales. Dado que la cámara de tu teléfono solo muestra una URL pequeña antes de abrirla, la mayoría de las personas nunca notan el cambio. Siempre verifica la URL de destino antes de abrir cualquier enlace de código QR, usa un escáner de QR con verificaciones de seguridad integradas y, en caso de duda, escribe la dirección web oficial manualmente.
Llegas a un estacionamiento, escaneas el código QR del quiosco de pago e ingresas tu tarjeta de crédito para pagar tu lugar. La transacción parece completarse. Esa tarde, tu banco llama por tres cargos fraudulentos del extranjero. Nunca le entregaste tu tarjeta a nadie. Nunca hiciste clic en un correo sospechoso. Todo lo que hiciste fue escanear un código QR, y eso fue suficiente. Bienvenido al quishing: la estafa de más rápido crecimiento de la que la mayoría de las personas nunca ha oído hablar.
Los códigos QR fueron diseñados para la conveniencia, escanea y listo. Pero esa misma experiencia sin fricciones que los hace atractivos para los negocios también los hace peligrosos en manos de estafadores. A diferencia de un enlace sospechoso en un correo sobre el que puedes pasar el cursor para ver una vista previa, un código QR no revela nada hasta después de que ya has apuntado tu cámara hacia él. Para cuando ves la URL de destino, muchas víctimas ya han tocado "abrir". Ese pequeño intervalo de tiempo es exactamente lo que el quishing explota.
¿Qué es el quishing?
El quishing, un portmanteau de "QR" y "phishing", es la práctica de incrustar URLs maliciosas dentro de códigos QR para redirigir a las víctimas a sitios web fraudulentos. La estafa puede tomar varias formas: reemplazar físicamente un código legítimo con una pegatina falsa en espacios públicos, enviar códigos QR por correo o mensaje de texto que eluden los filtros de spam tradicionales, o crear documentos falsos (facturas, citaciones de estacionamiento, avisos de paquetes) que muestran prominentemente códigos fraudulentos.
El Centro de Quejas de Delitos por Internet del FBI identificó el quishing como una amenaza prioritaria emergente en 2024, y los números solo han empeorado desde entonces. Las empresas de ciberseguridad documentaron un aumento del 587% en ataques de phishing basados en códigos QR entre 2024 y 2025. La técnica se ha vuelto popular entre los grupos de fraude organizado porque es barata de ejecutar, difícil de detectar a escala y específicamente diseñada para eludir las herramientas de seguridad de correo que no pueden leer URLs incrustadas en imágenes.
El quishing es parte de un cambio más amplio en las tácticas de estafa hacia ataques centrados en dispositivos móviles. Como documentamos en nuestro análisis de cómo la IA está acelerando la sofisticación de las estafas, los defraudadores se dirigen específicamente a las herramientas y hábitos que las personas han adoptado durante la era del smartphone, y los códigos QR son uno de los hábitos móviles más ampliamente adoptados de los últimos cinco años.
Cómo funcionan las estafas con códigos QR
La mecánica de un ataque de quishing es engañosamente simple. Un atacante genera un código QR que codifica una URL maliciosa, típicamente una versión clonada de una página de inicio de sesión bancaria, portal de pago o servicio gubernamental. La página falsa está diseñada para parecer idéntica a la legítima, capturando cualquier credencial o información de pago que la víctima ingrese.
En los ataques físicos, el estafador imprime el código fraudulento en una pegatina y lo coloca sobre el código legítimo en un parquímetro, mesa de restaurante o tablón de anuncios público. El cambio toma segundos. El atacante puede entonces alejarse del área y recopilar los datos robados de forma remota. Una sola pegatina bien colocada en un parquímetro concurrido puede capturar docenas de víctimas por día.

El quishing por correo sigue un esquema diferente. Los atacantes envían mensajes suplantando bancos, departamentos de recursos humanos o empresas de mensajería, afirmando que el destinatario necesita verificar su cuenta o rastrear una entrega, e incluyendo un código QR para "escanear con tu teléfono para mayor seguridad". Esta instrucción es deliberada: mover la interacción a un dispositivo móvil aleja a la víctima del ordenador corporativo con sus herramientas de seguridad y la lleva a un teléfono personal con menos protecciones.
Una vez en la página falsa, la víctima se enfrenta a un formulario pulido para recopilar credenciales. Los ataques más avanzados usan técnicas de retransmisión en tiempo real: mientras la víctima ingresa su nombre de usuario y contraseña, el atacante introduce esas credenciales en el sitio web real simultáneamente, luego retransmite la solicitud de autenticación de dos factores de vuelta a la víctima, eludiendo completamente las protecciones de 2FA.
¿No estás seguro sobre un enlace de un código QR? Pega la URL en Truvizy para verificar si hay indicadores de phishing antes de ingresar cualquier información.
Dónde aparecen los códigos QR falsos
Los parquímetros y quioscos de pago están entre las ubicaciones más atacadas en EE. UU. El Departamento de Transporte de Texas documentó docenas de pegatinas de códigos QR falsos en parquímetros de las principales ciudades en 2024. Las víctimas ingresaron detalles completos de su tarjeta de crédito esperando pagar el estacionamiento y en su lugar entregaron sus datos financieros directamente a los estafadores. La estafa funciona especialmente bien porque el pago del estacionamiento es estresante, los conductores suelen tener prisa y no examinan de cerca la interfaz de pago.
Las mesas de restaurantes y menús se convirtieron en un vector importante a medida que la restauración sin contacto se extendió tras la pandemia. Una pegatina con un código QR fraudulento colocada sobre o junto a uno legítimo puede redirigir a los comensales a un menú o página de pago falsos. En algunos casos, la página falsa incluso muestra un menú convincente antes de redirigir a un formulario de recopilación de credenciales que afirma que el restaurante cambió a pedidos en línea.
Las etiquetas de devolución de paquetes representan una categoría de ataque de rápido crecimiento. Las víctimas reciben paquetes, a veces no solicitados, a veces como parte de una campaña de premios falsos, que contienen etiquetas de devolución con códigos QR. Escanear el código supuestamente inicia una devolución pero en su lugar lleva a un portal falso del minorista que solicita información de tarjeta de crédito para el "procesamiento del reembolso".
El transporte público y las paradas de autobús conllevan un riesgo significativo porque la señalización está gestionada por municipios con capacidad de supervisión limitada. Los códigos fraudulentos en mapas de tránsito, quioscos de venta de billetes o pantallas de pago de tarifas pueden pasar desapercibidos durante días antes de ser retirados. En el Reino Unido, Transport for London retiró cientos de códigos QR fraudulentos de las estaciones en 2025.
Los ataques por correo y documentos se dirigen tanto a empresas como a consumidores. Las facturas falsas con códigos QR para "pago seguro", las notificaciones fraudulentas de recursos humanos que requieren que los empleados escaneen un código para actualizar información de nómina y los avisos falsos de entrega de paquetes son vectores de ataque empresarial comunes. Como se discute en nuestra guía sobre detección de correos de phishing, los ataques por correo se están volviendo más sofisticados en su uso de elementos visuales para eludir el filtrado automatizado.
Los folletos falsos de organizaciones benéficas y recaudación de fondos explotan la generosidad. Tras desastres naturales o eventos de noticias importantes, aparecen folletos fraudulentos con códigos QR de donación en tablones de anuncios comunitarios, supermercados y redes sociales. Los códigos enlazan a páginas falsas de pago benéfico convincentes que capturan donaciones y datos de tarjetas sin realizar ninguna donación real.
Por qué las estafas con QR son tan efectivas
La efectividad del quishing proviene de una incompatibilidad fundamental de confianza. Los códigos QR están asociados con la conveniencia y la modernidad, son colocados por negocios legítimos en materiales oficiales. Las personas han sido entrenadas a través de años de uso para confiar en el contexto físico de un código QR más de lo que confían en un enlace de correo aleatorio. Un código en una mesa de restaurante o un parquímetro lleva un respaldo implícito de la propia ubicación.
Las aplicaciones de cámara proporcionan una fricción mínima. La mayoría de los smartphones reconocen automáticamente los códigos QR y muestran una pequeña vista previa de URL que los usuarios instintivamente descartan sin leer. La ventana de vista previa es pequeña, la URL suele ser larga o acortada, y la tendencia natural del cerebro a reconocer patrones significa que los usuarios frecuentemente ven lo que esperan en lugar de lo que realmente está ahí. Una URL como "secure-payment-parkingzone.com" se lee como "estacionamiento" para un usuario distraído aunque señale peligro para uno cuidadoso.
Llegas a un parquímetro y escaneas el código QR. La cámara de tu teléfono muestra una URL de vista previa: 'parking-pay-secure-city.com/pay'. El parquímetro está en una ciudad importante de EE. UU. ¿Qué debes hacer?
- Abrir el enlace inmediatamente, menciona la ciudad así que debe ser legítimo
- Verificar la URL cuidadosamente: ¿coincide con el dominio oficial de tu ciudad?
- Ignorar la vista previa y seguir adelante porque los parquímetros siempre son seguros
- Llamar al número de atención al cliente que aparece en el parquímetro
Answer: Los dominios de sonido genérico como 'parking-pay-secure-city.com' son una señal de alerta importante. El sistema oficial de estacionamiento de tu ciudad tendrá un dominio específico y bien conocido (por ejemplo, paybyphone.com o el sitio.gov oficial de tu ciudad). Siempre verifica que la URL de destino coincida con el dominio oficial esperado antes de ingresar cualquier información de pago, o usa la ranura para tarjeta física si está disponible.
El contexto móvil también elimina muchas de las herramientas de seguridad que las personas tienen en los ordenadores de escritorio. La protección de endpoints corporativos, las extensiones de navegador que marcan sitios de phishing y el hábito de pasar el cursor sobre los enlaces para obtener una vista previa no se trasladan al móvil. En un teléfono, el usuario está en gran medida por su cuenta.
Cómo detectar un código QR falso
Inspecciona el código físicamente. Busca pegatinas colocadas encima de materiales impresos. Las pegatinas falsas a menudo tienen un papel ligeramente diferente, un ligero desalineamiento con los elementos de diseño circundantes o bordes visibles donde la pegatina se superpone al texto impreso. Pasa la uña por la superficie, una pegatina superpuesta generalmente tendrá un borde ligeramente elevado.
Lee la URL completa antes de tocar. Después de que tu cámara escanea un código, aparece una notificación o banner de vista previa. Detente antes de tocarlo y lee la URL completa. Busca: el nombre del negocio esperado en el dominio (no un sufijo o prefijo), un dominio de nivel superior legítimo (.com,.gov,.org, no extensiones inusuales como.xyz o.top), y la ausencia de palabras adicionales como "seguro", "login", "verificar" o "pago" añadidas a lo que parece un nombre de marca.
Sé escéptico ante la urgencia. Los códigos acompañados de lenguaje como "Escanea inmediatamente", "Oferta por tiempo limitado" o "Requerido para el acceso" están diseñados para hacerte actuar antes de pensar. Los negocios legítimos normalmente no usan lenguaje urgente y de alta presión en torno a los códigos QR de pago.
Contrasta con los canales oficiales. Antes de escanear un código QR de un correo o documento que afirma ser de tu banco, departamento de recursos humanos o un transportista, verifica si esa organización realmente envió la comunicación contactándola directamente a través de su sitio web oficial o aplicación. Nunca uses la información de contacto proporcionada en el mismo mensaje que contiene el código QR. Para evaluar enlaces sospechosos y contenido de fuentes desconocidas, la herramienta de escaneo de Truvizy puede ayudarte a evaluar el riesgo antes de comprometerte con cualquier acción.
Usa la alternativa cuando esté disponible. Si un código QR es la única opción de pago en un parquímetro o quiosco, considera usar la ranura para tarjeta física, pagar a través de una aplicación oficial dedicada que descargaste de una tienda de aplicaciones verificada o encontrar otro método. La conveniencia nunca debe anteponerse a la seguridad cuando se trata de pagos o información personal.

Qué hacer si fuiste víctima de una estafa
Si escaneaste un código, abriste el enlace e ingresaste información, actúa rápido. Cada minuto de retraso le da al atacante más tiempo para usar tus datos.
Si ingresaste datos de tarjeta de pago: Llama a la línea de fraude de tu banco de inmediato (usa el número en el reverso de tu tarjeta, no ningún número del sitio sospechoso). Solicita un bloqueo o reemplazo de la tarjeta. Pide al banco que marque cualquier cargo desde el momento en que ingresaste la información.
Si ingresaste credenciales de inicio de sesión: Cambia tu contraseña de inmediato desde un dispositivo separado y de confianza. Activa la autenticación de dos factores si aún no está activa. Busca dispositivos o sesiones desconocidas que hayan iniciado sesión en la cuenta y elimínalos. Si usas la misma contraseña en otros lugares, cámbialas también.
Coloca una alerta de fraude en tu expediente de crédito con una de las tres principales agencias (Equifax, Experian, TransUnion), esto notifica automáticamente a las otras dos. Si crees que tu identidad ha sido comprometida, considera una congelación de crédito, que es gratuita y evita que se abran nuevas cuentas a tu nombre. Nuestra guía completa sobre prevención del robo de identidad cubre el proceso completo de recuperación en detalle.
Protégete de las estafas con códigos QR y otras amenazas móviles con detección de fraude impulsada por IA.
Cómo protegerte a partir de ahora
El hábito más importante es pausar antes de tocar. Todo el diseño del quishing se basa en el hecho de que escanear un QR se siente automático e instantáneo. Interrumpir esa respuesta automática, aunque sea dos segundos para leer la URL, frustra el ataque. Establece una regla: primero ver la URL de vista previa, luego abrir.
Usa una aplicación de escáner de QR dedicada que realice verificaciones de seguridad en tiempo real en la URL decodificada antes de presentártela. Estas aplicaciones, disponibles gratis de los principales proveedores de seguridad, funcionan como un verificador de URL integrado en tu flujo de escaneo. Son el equivalente móvil de pasar el cursor sobre un enlace antes de hacer clic.
Mantén actualizado el sistema operativo y el navegador de tu teléfono. Los parches de seguridad frecuentemente cierran vulnerabilidades que los ataques de descarga automática explotan cuando se visita un sitio malicioso. Un teléfono sin parchar es significativamente más vulnerable a la segunda etapa de un ataque de quishing, incluso si tus credenciales permanecen seguras.
Activa la autenticación de dos factores usando una aplicación de autenticación, no SMS. Como señalamos en nuestra guía sobre smishing y estafas por mensaje de texto, el 2FA basado en SMS puede ser interceptado. Una aplicación de autenticación genera códigos localmente en tu dispositivo, lo que hace que los ataques de retransmisión en tiempo real sean significativamente más difíciles.
Reporta los códigos sospechosos donde los encuentres. Si detectas una pegatina que parece sospechosa en un código QR público, fotografía la ubicación y repórtala al negocio o a las autoridades locales. Retirar una pegatina maliciosa en pocas horas puede proteger a docenas de otras víctimas potenciales.
Key Takeaways
- Siempre lee la URL de destino completa en la vista previa de tu cámara antes de tocar cualquier enlace de código QR, especialmente en parquímetros, restaurantes y paradas de transporte.
- Las pegatinas de códigos QR falsas pueden aparecer sobre códigos legítimos y son casi imposibles de detectar sin inspección física de los bordes superpuestos.
- Los códigos QR en correos eluden la mayoría de los filtros de phishing corporativos, trátalos con el mismo escepticismo que aplicarías a cualquier enlace de correo.
- Si ingresaste datos de pago o inicio de sesión en un sitio sospechoso, contacta a tu banco de inmediato y cambia las contraseñas afectadas desde un dispositivo separado.
Los códigos QR no van a desaparecer, y tampoco los estafadores que los explotan. A medida que los pagos sin contacto, los menús digitales y los servicios centrados en móviles se integran más en la vida cotidiana, el quishing se volverá más sofisticado y más generalizado. El antídoto es la conciencia: saber que cualquier código QR físico puede ser reemplazado, que cualquier código en un correo puede enlazar a cualquier lugar, y que los dos segundos que toma leer una URL antes de tocar podrían ser los dos segundos que te ahorren una lección muy costosa.
Los planes de protección de Truvizy incluyen herramientas para analizar URLs y enlaces sospechosos, pega una URL decodificada de cualquier código QR en Truvizy antes de abrirla y obtén una evaluación instantánea impulsada por IA de su legitimidad. En un panorama de amenazas donde los estafadores ocultan enlaces maliciosos dentro de imágenes, tener una herramienta que verifica el destino real ya no es opcional, es esencial.
Smishing: por qué ese mensaje de tu banco probablemente es una estafa — El phishing por mensaje de texto que comparte el mismo esquema psicológico que el quishing.
Detección de correos de phishing — Cómo identificar ataques por correo, incluidos los que usan códigos QR para eludir filtros.
Ataques de ingeniería social — Las técnicas de manipulación psicológica detrás del quishing y todas las estafas modernas.
FAQ
¿Qué es el quishing?
El quishing es el phishing mediante códigos QR, una estafa donde los atacantes reemplazan o crean códigos QR falsos que redirigen a las víctimas a sitios web maliciosos diseñados para robar credenciales de inicio de sesión, información de pago o instalar malware en su dispositivo.
¿Cómo puedo saber si un código QR es falso antes de escanearlo?
Inspecciona el código físicamente: busca pegatinas colocadas sobre un código original, daños en el material circundante o códigos que parezcan ligeramente diferentes a los cercanos. Después de escanear, siempre verifica la URL de destino completa en la vista previa de tu aplicación de cámara antes de tocar "abrir". Si la URL no coincide exactamente con el dominio del negocio esperado, no continúes.
¿Puede escanear un código QR instalar malware en mi teléfono?
Simplemente escanear un código QR con tu cámara no instala malware, pero abrir el enlace resultante sí puede hacerlo. Los sitios maliciosos pueden intentar descargas automáticas, phishing de credenciales o pedirte que instales una aplicación falsa. Mantén el sistema operativo de tu teléfono actualizado, evita permitir la instalación de aplicaciones de fuentes desconocidas y usa un escáner de QR con verificación de seguridad de URL integrada.
¿Qué ubicaciones tienen mayor riesgo de códigos QR falsos?
Las ubicaciones de alto riesgo incluyen parquímetros, mesas y menús de restaurantes, paradas de transporte público, etiquetas de devolución de paquetes, vestíbulos de hoteles y folletos publicados en público. Cualquier espacio físico sin vigilancia donde alguien pueda reemplazar un código de noche sin ser detectado es un objetivo potencial.
¿Qué debo hacer si ya escaneé e ingresé información en un sitio sospechoso?
Actúa de inmediato: cambia las contraseñas que ingresaste, contacta a tu banco si proporcionaste datos de pago, activa la autenticación de dos factores en las cuentas afectadas y monitorea tu informe de crédito. Reporta el incidente a la FTC en reportfraud.ftc.gov y, si fue en propiedad de un negocio, alerta al negocio para que puedan reemplazar el código comprometido.