REGISTRO

Códigos QR que impresionan

Regístrate ahora y prueba todas las funcionalidades gratis durante 14 días

Ya tengo una cuenta

INICIAR SESIÓN

Códigos QR que impresionan

CONTRASEÑA OLVIDADA

Te enviaremos un enlace para restablecerla

Volver al inicio de sesión
Practical

Quishing: la estafa del código QR que crece en 2026

El quishing es el phishing por código QR: un código falso que roba tus datos al escanear. Aprende a detectar una estafa de código QR y a proteger a tus clientes.

12 Jul 20267 min de lecturaBenjamin TurcPor Benjamin Turc
Quishing: la estafa del código QR que crece en 2026

El menú de un restaurante, un parquímetro, una página de reseñas, la etiqueta de un paquete. El código QR está en todas partes y lo escaneas en piloto automático, sin pensar. Es justo con lo que cuentan los estafadores. El quishing es el phishing en versión código QR: un código falso que te manda a un sitio trampa para aspirar tus datos o tu dinero.

La buena noticia: escanear no es el peligro. No mirar a dónde te lleva el código, sí. Aquí tienes en qué punto está la amenaza en 2026, cómo detectar un código falso y cómo un comercio puede proteger a sus clientes.

¿Qué es el quishing y hay que preocuparse de verdad?

El quishing es phishing por código QR. El mismo anzuelo que ya conoces por email, trasladado a un cuadrado que escaneas, al lado del smishing (por SMS) y del vishing (por teléfono). El objetivo no cambia: llevarte con engaños a un sitio falso para robar tus credenciales o tu tarjeta.

¿Hay que entrar en pánico entonces? Dos autoridades, dos veredictos opuestos. La agencia pública francesa de ciberseguridad califica la amenaza de «todavía relativamente menor». Al mismo tiempo, Microsoft mide un alza del 146 % de estos ataques en el primer trimestre de 2026, sobre 8,3 mil millones de amenazas analizadas. Las dos tienen razón.

La explicación cabe en un matiz: la amenaza se dispara en los correos de empresa, el terreno de las firmas de seguridad, pero sigue siendo rara en la vida física de un particular. El costo, en cambio, es muy real. En el Reino Unido, una investigación del Bureau of Investigative Journalism cifra en 3,5 millones de libras las pérdidas en un año, que afectaron a un tercio de los gobiernos locales y a una docena de hospitales.

Marginal hoy. Pero la curva sube, y basta con una sola vez.

Las estafas con códigos QR que se disparan en 2026

En Toronto, una conductora creyó pagar 7 dólares de estacionamiento al escanear el QR del parquímetro. Su banco vio pasar casi 2000 dólares. Nada la había alertado: la página de pago se veía perfectamente normal.

No es la única. En una sola ciudad de California, la policía retiró 150 códigos QR falsos de los parquímetros, conectados a copias idénticas del sitio oficial donde solo cambiaba la URL. En Nueva York, las autoridades incluso pidieron dejar de escanear los de las máquinas de pago de estacionamiento.

En 2026, la estafa de código QR llega hasta la caja. En Estados Unidos, falsos empleados de PG&E amenazan con cortar la luz y luego envían un código QR fraudulento para que lo escanee un cajero. Resultado: 211 000 dólares esfumados en el primer semestre.

¿Y en Francia? Se encontró un QR falso «Pay by Phone» en un parquímetro de París, y hasta estaciones de recarga trucadas en otras zonas del país. Pero sigue siendo raro: a un creador de contenido le tomó más de cuatro horas dar con uno solo en París.

El punto en común de todos estos casos: un adhesivo, colocado sobre un soporte real.

Una pegatina de código QR falso despegada de un parquímetro que revela el código real debajo

Por qué el código QR es el arma soñada de los estafadores

Un código QR es un enlace que tu ojo no sabe leer. En una dirección escrita en claro, detectas una falta o un nombre de dominio raro. En un cuadrado de píxeles, el destino es invisible por diseño. Toda la estafa vive en ese punto ciego.

Ese punto ciego tiene dos consecuencias. En la calle, un adhesivo pegado encima de un código real pasa desapercibido: la policía de Toronto lo considera la señal de fraude más fiable. En tu correo, esquiva los filtros, que leen el texto y los enlaces pero ven el código como una imagen. De ahí que el 12 % de los ataques de phishing ya escondan su trampa dentro de una imagen.

Solo que tu teléfono ya tiene la defensa lista. Tanto iOS como Android muestran una vista previa de la URL antes de abrirla. El problema no es técnico, es humano: nadie lee esa vista previa. (Una vieja falla de iOS podía falsearla, corregida desde 2018.)

Si solo te quedas con un gesto: lee esa vista previa de la URL antes de escribir nada.

Un teléfono escanea un código QR y muestra la vista previa de la URL bajo una lupa

Detecta un código QR falso antes de escanearlo

Bastan tres reflejos, y ninguno es técnico.

Primero, el ojo. Un código QR auténtico forma un solo cuerpo con su soporte. Desconfía del adhesivo suelto: bordes que se despegan, código torcido, colores un poco falsos. Ante la menor duda, pasa el dedo por encima: un doble grosor delata un falso pegado sobre el verdadero, y es justo lo que recomienda el Ministerio del Interior francés.

Después, la URL. Lee la vista previa que tu teléfono muestra antes de abrir. Desconfía de los enlaces acortados (bit.ly) que ocultan el destino, y recuerda que el candado de HTTPS no prueba nada: un sitio falso también puede mostrarlo. Nunca escanees un QR recibido por email o correo postal no solicitado, como ese phishing disfrazado de citación judicial.

Por último, la red de seguridad. Un gestor de contraseñas se negará a rellenarse en un dominio equivocado, aunque el falso sea perfecto a la vista. Y un decodificador de QR en línea muestra el destino sin llegar a abrirlo.

La señal más fiable sigue siendo física: los sitios falsos, en cambio, están cada vez mejor imitados.

Comercios: protege tus códigos QR expuestos (y a tus clientes)

Un código QR falso pegado en tu mostrador y es doble castigo: a tu cliente le vacían la cuenta y tu negocio carga con la culpa. Te conviertes en el decorado de la estafa sin saberlo.

No es teoría. En Suiza, un estudiante alteró el QR de pago del comedor de su escuela y desvió decenas de miles de francos. En Filipinas, un comerciante escaneó el QR de un «cliente» y vio su tienda vaciada de 80 000 pesos en cuatro minutos. Los negocios pequeños son los más expuestos: casi nunca tienen con qué detectar un código manipulado.

Así puedes blindar los tuyos:

  • Muestra el nombre de dominio en claro debajo del código: el cliente puede comparar antes de escanear.
  • Imprime el código directamente sobre el soporte en vez de en un adhesivo despegable, e incluso bajo una protección antiarranque.
  • Integra logo, colores y marco en el código: un adhesivo genérico pegado encima salta a la vista.
  • Forma a tu equipo para una revisión visual periódica: doble grosor, desalineación, decoloración.
  • Vigila tus estadísticas de escaneo: una caída brusca puede delatar un código manipulado.

El principio: si expones un QR de pago o de menú, conviértelo en un código imposible de copiar sin que se note.

El buen reflejo cabe en tres segundos

Escanear sigue sin ser peligroso en un teléfono actualizado. Todo el riesgo cabe en dos descuidos: del lado del cliente, no leer la vista previa de la URL antes de escribir. Del lado del comercio, dejar su QR expuesto sin ninguna protección. Dos gestos de tres segundos, y lo esencial de la amenaza se cae.

El resto es cuestión de herramienta. Un generador de códigos QR serio hace que tus códigos sean difíciles de imitar: diseño de marca distintivo, dominio reconocible, estadísticas de escaneo para detectar la anomalía al instante. Es exactamente lo que hace Oh My Code.

Tu competencia imprime un cuadrado en blanco y negro y cruza los dedos. Tú imprimes un código que nadie puede maquillar sin que se note. Crea un código QR que nadie pueda falsificar.

Preguntas frecuentes sobre el quishing

Escaneé un código QR falso, ¿es grave?

No, el escaneo por sí solo no es peligroso en un teléfono actualizado. El riesgo solo aparece si escribiste información en el sitio de destino: credenciales, número de tarjeta, contraseña. Si solo escaneaste sin rellenar nada, cierra la página, no escribas nada y todo bien.

¿Cómo verificar un código QR antes de escanearlo?

Lee la vista previa de la URL que tu teléfono muestra antes de abrir el enlace, y desconfía de las direcciones acortadas que ocultan el destino real. Para una verificación total, pega el código en un decodificador de QR en línea (qrcoderaptor.com, barcodeocean.com): verás a dónde lleva sin abrirlo nunca en tu teléfono.

¿Qué hago si ya di mis datos bancarios?

Actúa rápido. Llama a tu banco de inmediato para bloquear la tarjeta y, después, cambia las contraseñas de la cuenta y del email asociado. Denuncia la estafa de código QR ante las autoridades locales o la policía cibernética de tu país, y presenta una denuncia formal: sirve para reclamar los cargos.

¿Un código QR recibido por email es siempre una estafa?

No siempre, pero la desconfianza debe ser máxima. Los filtros de Gmail o Microsoft Defender no lo atrapan todo, porque un código QR fraudulento se presenta como una simple imagen y no como un enlace legible. La regla: nunca escanees un QR de un email no solicitado; escribe tú mismo la dirección que ya conoces.

Benjamin Turc

Benjamin Turc

Founder of Oh My Code. Convinced you can make QR codes scannable without making them ugly.

LinkedIn