Cómo funcionan los ataques con códigos QR (y cómo mantenerse a salvo)

Ciberseguridad14 de marzo de 2026·7 min de lectura

Los códigos QR se han vuelto omnipresentes: menús de restaurantes, parquímetros, empaques de productos, entradas para eventos. Su conveniencia nos hizo confiar implícitamente en ellos. Pero esa confianza es exactamente lo que los ciberdelincuentes explotan en una creciente ola de ataques llamados quishing (QR phishing).

¿Qué es Quishing?

Quishing combina "QR" y "phishing". En lugar de enviarle un enlace de correo electrónico sospechoso, los atacantes colocan códigos QR maliciosos en el mundo físico o en documentos digitales. Cuando se escanean, estos códigos lo redireccionan a sitios web falsos y convincentes diseñados para robar sus credenciales, información financiera o instalar malware.

El FBI informó un aumento del 300% en casos de fraude de códigos QR entre 2023 y 2025, con pérdidas que superan los 150 millones de dólares solo en EE. UU.

5 Métodos de ataque de códigos QR del mundo real

1. Pegatinas de parquímetros

Los delincuentes colocan pegatinas con códigos QR falsos sobre códigos de pago legítimos en los parquímetros. Las víctimas escanean el código pensando que están pagando por el estacionamiento, pero en realidad están ingresando los datos de su tarjeta de crédito en un sitio de phishing. Este ataque ha sido documentado en más de 40 ciudades de EE. UU.

2. Superposiciones del menú del restaurante

Durante la pandemia, los menús QR se convirtieron en estándar. Los atacantes aprovechan esto colocando pegatinas transparentes con códigos QR maliciosos sobre las carpas de las mesas de los restaurantes. El código falso conduce a un sitio que imita un menú pero solicita información de pago o instalación de la aplicación.

3. Avisos de entrega de paquetes falsos

Recibes una tarjeta en tu buzón: "Intentamos entregar tu paquete. Escanear para reprogramar". El código QR conduce a una página de phishing que se hace pasar por un servicio de entrega y solicita sus credenciales de inicio de sesión y datos personales.

4. Códigos QR de correo electrónico empresarial

Los atacantes incorporan códigos QR en los correos electrónicos porque los códigos QR eluden la mayoría de los filtros de seguridad del correo electrónico. Es posible que el correo electrónico provenga del soporte de TI y le solicite "escanear para verificar su cuenta", lo que lo llevará a una página de recolección de credenciales.

5. Códigos QR de Wi-Fi público

Los códigos QR falsos de "Wi-Fi gratuito" en aeropuertos, cafeterías u hoteles pueden redirigirlo a un portal cautivo que instala un perfil de configuración en su teléfono, lo que permite ataques de intermediario en todo su tráfico.

🧪 Cuestionario de seguridad QR

1. Encuentras un código QR en un parquímetro. ¿Qué debes hacer primero?

Escanéalo y paga inmediatamenteComprueba si es una pegatina colocada sobre el código originalToma una foto y escanea más tarde

2. Un correo electrónico con código QR de "Soporte de TI" le solicita que verifique su cuenta. ¿Cuál es la acción más segura?

Escanee el código QR con su teléfonoReenvíelo a sus colegas para que lo verifiquenIr directamente al sitio web de la empresa sin escaneando

3. Después de escanear un código QR, su teléfono muestra una vista previa de la URL. ¿Qué URL es sospechosa?

https://paypal.com/paymenthttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Cómo protegerse

Vista previa antes de tocar: Siempre verifique la URL que muestra su teléfono después de escanear. Busque dominios mal escritos o caracteres sospechosos.
Compruebe si hay manipulación: En códigos físicos, busque pegatinas colocadas sobre el original. Los códigos legítimos suelen estar impresos directamente en la superficie.
Utilice la cámara integrada: La aplicación de cámara nativa de su teléfono es más segura que las aplicaciones de escáner QR de terceros, que pueden tener menos protecciones de seguridad.
Nunca ingrese credenciales: Si un código QR conduce a una página de inicio de sesión, ciérrela y navegue hasta el sitio manualmente a través de su navegador.
Evite los códigos QR de Wi-Fi: En lugar de escanear códigos QR para Wi-Fi, solicite al personal el nombre de la red y la contraseña directamente.

Preguntas frecuentes

¿Qué es quishing?

Quishing es phishing mediante códigos QR. Los atacantes reemplazan los códigos QR legítimos por códigos maliciosos que redirigen a las víctimas a páginas de inicio de sesión falsas o desencadenan descargas de malware.

¿Escanear un código QR puede instalar malware?

En la mayoría de los teléfonos modernos, simplemente escanear un código QR muestra primero una vista previa de la URL. Sin embargo, si tocas el enlace, puede dirigirte a una página que explota las vulnerabilidades del navegador o te engaña para que descargues una aplicación maliciosa.

¿Cómo puedo saber si un código QR es seguro?

Utilice la cámara integrada de su teléfono (no aplicaciones de terceros), verifique la vista previa de la URL antes de abrirla, busque signos de manipulación en códigos QR físicos y nunca escanee códigos de fuentes no confiables.

Herramientas relacionadas

Generador de contraseñas: cree contraseñas seguras para cuentas expuestas mediante phishing QR
Anatomía de un ataque de phishing