Los códigos QR se han vuelto invisibles de tanto usarlos en aparcamientos, menús, citas previas, logística, publicidad exterior.
Esta familiaridad es justo lo que explota una variante del phishing que se apoya en códigos QR para llevar al usuario a sitios que imitan servicios legítimos y robar credenciales o datos bancarios. De ahí el nombre de “quishing” o “phishing QR”.
¿Has oído hablar de esta forma de ataque cibernético?
De entrada, una buena práctica es entrenar el ojo con códigos de prueba: por ejemplo, haciendo uno sencillo en OnlineQRCode España y comprobando qué URL aparece antes de abrirla.
Pero, para detectar las amenazas, hay que saber reconocerlas. Por eso, en este contenido detallamos todo acerca del quishing para que aprendas a identificar amenazas ocultas en algo tan común como un código QR.
¿Cómo funciona esta amenaza?
La mecánica es simple: el QR “oculta” la URL real tras un mosaico. A diferencia de un enlace tradicional, el usuario no lee antes de pulsar: primero escanea, luego abre.
Ese segundo de ventaja permite al atacante redirigir a una página que copia colores, tipografías y tono de la entidad suplantada, y empujar a introducir datos o descargar una app maliciosa.
En España, la Policía Nacional ha lanzado avisos sobre QR superpuestos en parquímetros y cartelería que consisten en pegatinas mal recortadas colocadas sobre el código legítimo que redirigen a webs de pago falsas.
El patrón se repite con una llamada a la acción, por ejemplo, para hacer un pago con sentido de urgencia, dominios casi idénticos a los oficiales y páginas que piden tarjeta o credenciales.
Los medios que se hicieron eco de estos avisos insisten en la inspección visual previa y en leer la URL en la vista de preapertura del móvil.
No es una anécdota aislada. El uso del QR se ha extendido a tantos trámites cotidianos que resulta un canal atractivo para la ingeniería social.
En este sentido, el Instituto Nacional de Ciberseguridad (INCIBE), confirma que un QR puede redirigir a sitios fraudulentos o inducir a descargar software malicioso si el atacante ha manipulado el soporte o el destino.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) también recuerda en sus publicaciones que el phishing evoluciona con nuevos vectores, entre ellos, los QR, y que conviene combinar controles técnicos con hábitos de usuario.
¿Qué puedo hacer para protegerme?
La mayoría de problemas se evitan con buenas prácticas concretas que recomiendan tanto la Agencia Española de Protección de Datos (AEPD) como guías públicas de ciberseguridad: mirar el soporte físico, leer el dominio completo y desconfiar de urgencias artificiales.
Además, mantener el móvil y las apps actualizados, usar bloqueo de pantalla robusto y activar el segundo factor añade una capa extra frente a accesos indebidos.
Más en profundidad, las autoridades recomiendan que cuando vayas a escanear, te tomes un segundo para comprobar tres cosas.
- El soporte: si el código parece pegado encima de otro, está decolorado o aparece en lugares improvisados (una pegatina en la esquina de un parquímetro), mejor no escanear.
- La vista previa: casi todos los móviles muestran la URL antes de abrirla: fíjate en el dominio (¿es el oficial?, ¿tiene faltas?, ¿usa HTTP en vez de HTTPS?).
- El contexto: si te piden tarjeta o credenciales tras un escaneo “de parking” o “de menú”, algo chirría; accede por la app o la web oficial escribiendo tú mismo/a la dirección.
Estas pautas derivan de advertencias publicadas por medios como El Independiente y universidades que han tratado el auge del quishing tras la pandemia.
Cómo verificar un QR desde el propio móvil
Más allá de la vista previa de un enlace que se genera al apuntar la cámara del móvil a un código QR, hay señales que delatan un destino poco fiable: parámetros de seguimiento extraños, subdominios largos que intentan parecer oficiales o redirecciones encadenadas que cambian la barra de direcciones varias veces.
Un recurso sencillo es abrir el enlace en un navegador que tenga aislamiento de sitios y capacidad de habilitar la protección antiphishing; como Google Chrome, si el navegador lanza un aviso, no haga clic.
¿Qué deben hacer negocios y administraciones para combatir el “quishing”?
Si tu organización publica QR en mesas, marquesinas, máquinas de estacionamiento, envíos, trátalos como un punto sensible.
Es necesario hacer revisiones periódicas para detectar adhesivos superpuestos, usar marcos y diseños identificativos que hagan visible cualquier manipulación y rotular junto al código el dominio oficial y un aviso de que no se pedirán credenciales o tarjetas en ese flujo.
Las páginas de destino deberían estar en dominios propios, con certificados válidos y políticas como HSTS o CSP, además de un plan de rotación y retirada cuando termine una campaña.
El INCIBE aconseja verificar con frecuencia que los códigos no han sido modificados y emplear servicios que garanticen destinos correctos.
Una idea práctica para campañas en exteriores y cartelería es acompañar el QR de una URL legible y corta en el mismo soporte: si alguien sospecha, puede teclear la dirección sin depender del escaneo.
Y para equipos de atención, un protocolo claro: si llega una queja por un QR “raro”, revisar de inmediato el soporte físico y documentarlo con fotos antes de reponer.
¿Ya he picado, qué debo hacer?
Si has introducido datos tras escanear un QR sospechoso, actúa rápido.
Cambia la contraseña del servicio afectado y de cualquier otra cuenta donde la reutilizaras, activa el segundo factor y revisa movimientos bancarios. Reúne pruebas (capturas, URL, justificantes) y acude a tu entidad si se han visto comprometidos pagos.
En paralelo, contacta con la Línea 017 del INCIBE: es gratuita, confidencial y funciona todos los días de 8:00 a 23:00; allí orientan sobre bloqueo de cuentas, denuncia y limpieza de dispositivos.
También puedes denunciar ante Policía Nacional o Guardia Civil y consultar la página de INCIBE sobre cómo interponer denuncia y reportar fraudes.
El propio Instituto recuerda que la ciudadanía usa estos canales con frecuencia, y que entre las consultas más habituales figuran suplantaciones, vishing y compras fraudulentas, lo que encaja con el contexto en el que prolifera el quishing.
En conclusión, los QR seguirán aquí porque ahorran pasos y hacen accesibles muchos servicios. Pero, precisamente por eso, merecen un poco más de atención.
Seguridad cotidiana, sin dramatismos: mirar el soporte, leer la URL, desconfiar de la prisa y mantener el móvil actualizado. Con eso evitarás la mayoría de sustos.
Conoce más sobre temas sobre herramientas digitales y seguridad online en nuestra sección Tecnología. Encuentra freelancers expertos en ciberseguridad en Soyfreelancer.com, publicando tu proyecto y eligiendo la mejor oferta. Contrata de forma segura y con garantía de escrow.
