Un código QR es, en su forma más básica, un cuadrado lleno de puntos negros y blancos que codifica información. Esa información suele ser una URL: una dirección web a la que el dispositivo va automáticamente cuando la cámara lee el código. Ahí está el problema. No hay ninguna barrera entre el escaneo y la redirección. No hay una pregunta de confirmación, no hay una vista previa obligatoria, no hay ningún filtro. La cámara lee el código y el navegador abre la URL. Todo en menos de un segundo.
Ese segundo es donde ocurre el quishing.
Cómo funciona un código QR a nivel técnico
Un código QR (Quick Response) es una matriz bidimensional de puntos que puede codificar hasta unos 4.000 caracteres de texto. La información más habitual es una URL, pero también puede contener texto plano, números de teléfono, datos de contacto o instrucciones para conectarse a una red WiFi.
El proceso de lectura es completamente automático: la cámara detecta el patrón, decodifica la información y, si es una URL, lanza el navegador hacia esa dirección. En la mayoría de los dispositivos no hay confirmación intermedia. El usuario escanea y el navegador va.
Lo que hace que los QR sean útiles para los atacantes es precisamente que ocultan la URL de destino. Si alguien te envía un enlace por mensaje, puedes mantener pulsado para ver la dirección antes de abrirla. Con un QR, esa información no es visible hasta que ya has escaneado y el navegador está cargando la página.
Además, los QR dinámicos (los que usa la mayoría de los negocios porque permiten cambiar la URL sin imprimir un nuevo código) añaden una redirección adicional a través de un servidor intermediario. El destino puede cambiar en cualquier momento, incluso después de que el código haya sido impreso y colocado en una mesa de restaurante.
Qué ocurre exactamente cuando se escanea un QR malicioso
El escenario más habitual es la redirección a una web de phishing: una página diseñada para imitar la apariencia de un servicio legítimo (banco, ayuntamiento, sistema de pago de parking, pasarela de pagos) con el objetivo de que el usuario introduzca credenciales o datos de tarjeta.
El segundo escenario es la descarga automática de contenido. Algunos QR codifican URLs que desencadenan la descarga de un archivo al abrirse en el navegador. Si el sistema operativo tiene alguna vulnerabilidad sin parchear, ese archivo puede ejecutarse sin interacción del usuario. Este tipo de ataque es más sofisticado y más difícil de detectar.
El tercer escenario es la explotación de esquemas de URL especiales. Un QR puede codificar instrucciones que no son URLs web, sino comandos del sistema: iniciar una llamada, enviar un SMS, conectarse a una red WiFi con credenciales predefinidas o abrir una aplicación concreta. En algunos dispositivos con configuraciones permisivas, estas acciones se ejecutan sin confirmación.
Los vectores de ataque más comunes en España
El INCIBE (Instituto Nacional de Ciberseguridad) y el Banco de España han documentado casos concretos de quishing en entornos físicos. Los parquímetros son uno de los vectores más activos: se han detectado pegatinas con QR falsos pegadas sobre los sistemas de pago legítimos en varias ciudades españolas. Al escanear, el usuario llega a una web que imita la pasarela de pago oficial del aparcamiento e introduce los datos de su tarjeta.
Las multas falsas en parabrisas son otro vector documentado por la Policía Nacional y la Guardia Civil. Un papel que imita una notificación de multa de tráfico incluye un QR para «pagar con descuento antes de 24 horas». Las sanciones de tráfico reales nunca se notifican mediante un QR anónimo en el parabrisas.
Los menús de restaurante también han sido objetivo frecuente, con casos documentados en Valencia de QR superpuestos en mesas de terraza. Y los correos electrónicos corporativos son un vector en alza: un correo que parece de Recursos Humanos o de un proveedor incluye un QR para «firmar un documento». Este método es especialmente efectivo porque los filtros antiphishing del correo corporativo analizan URLs en el texto, pero no siempre decodifican los QR incrustados como imágenes.
Según datos recogidos por Proofpoint, los ataques de quishing aumentaron un 587 % entre 2022 y 2023, y siguieron creciendo un 25 % adicional en 2025.
Cómo detectar un QR manipulado antes de escanearlo
La inspección física es el primer filtro. Un QR legítimo está integrado en el soporte físico: impreso sobre el cartel, la mesa o el papel junto con el resto del diseño. Un QR malicioso suele ser una pegatina colocada encima.
Las señales visuales de una pegatina superpuesta incluyen: bordes levantados alrededor del código, una ligera diferencia de relieve respecto al resto de la superficie, diferencia en el tipo o la calidad del papel, alineación imperfecta respecto al diseño del soporte original y, en algunos casos, dos capas visibles si se mira desde un ángulo rasante. Pasar la uña por encima del código permite detectar el relieve de una pegatina aunque visualmente parezca integrado.
Si el QR está en un lugar donde no hay nadie a quien preguntar (un parquímetro, un cartel en la calle), el nivel de precaución debe ser mayor. Los negocios legítimos siempre pueden confirmar cuál es la URL correcta a la que debería llevar su QR. Para una guía completa de las señales visuales específicas y ejemplos reales documentados en España, el artículo sobre cómo detectar un código QR falso en restaurantes y espacios públicos cubre los indicadores prácticos más útiles.
Qué hacer después de escanear: la URL es la segunda línea de defensa
Si ya se ha escaneado el QR, la mayoría de aplicaciones de cámara muestran una vista previa de la URL antes de abrirla en el navegador. Ese momento de pausa es la segunda oportunidad para detener el proceso.
Las señales de alerta en la URL incluyen: dominio que no corresponde a la organización esperada (el QR de un ayuntamiento debería llevar a un dominio .gob.es o al dominio oficial del ayuntamiento, no a una cadena aleatoria); uso de acortadores de URL que ocultan el destino real; y subdominios diseñados para parecer dominios legítimos. Por ejemplo, «ayuntamiento-madrid.pagos-online.com» no es un dominio del Ayuntamiento de Madrid: es un subdominio del dominio «pagos-online.com». El elemento que identifica realmente al propietario de una URL es el dominio principal, no todo lo que aparece antes del último punto antes de la extensión (.com, .es, .org).
Un detalle importante: el candado HTTPS solo certifica que la conexión está cifrada, no que el sitio sea legítimo. Un sitio de phishing puede tener HTTPS. No es una garantía de seguridad, solo de cifrado en tránsito.
Si se ha introducido algún dato en una página sospechosa, hay que cambiar inmediatamente las contraseñas afectadas. Si se han introducido datos bancarios, hay que contactar con el banco antes de que transcurran las primeras horas. Si también quieres entender cómo funciona el phishing más allá de los QR y cómo se usan las cookies para rastrear usuarios entre distintos sitios, el artículo sobre cómo Facebook rastrea tu actividad en webs externas explica el mecanismo técnico detrás del rastreo cruzado entre plataformas.
Preguntas frecuentes sobre los peligros de los códigos QR falsos
¿Puede un QR infectar mi móvil con solo escanearlo, sin hacer nada más?
En la mayoría de los casos, solo escanear el QR no es suficiente para comprometer el dispositivo: el daño ocurre cuando el usuario interactúa con la página a la que lleva (introduce datos, descarga algo, acepta permisos). Sin embargo, en dispositivos con sistemas operativos desactualizados y vulnerabilidades sin parchear, es posible que el simple acceso a una URL maliciosa desencadene una descarga o ejecución de código. Mantener el sistema operativo actualizado reduce significativamente ese riesgo.
¿Cómo sé si la URL a la que lleva un QR es legítima antes de abrirla?
La mayoría de las aplicaciones de cámara muestran una vista previa de la URL antes de abrirla. Comprueba que el dominio principal corresponde a la organización esperada. El elemento clave es el dominio (lo que aparece justo antes de .com, .es, .org, etc.), no los subdominios. Si la URL usa un acortador que oculta el destino, o si el dominio no te resulta reconocible, es mejor no proceder sin verificar antes.
¿Las multas de tráfico reales usan códigos QR?
Las sanciones de tráfico reales en España no se notifican mediante papeles con QR colocados en el parabrisas. La Policía Nacional, la Guardia Civil y varios ayuntamientos han confirmado que este formato es una estafa. Las multas oficiales llegan por correo postal o por notificación electrónica si el titular está suscrito al sistema de notificaciones electrónicas de la DGT. Ante cualquier papel con QR en el parabrisas, lo más seguro es ignorarlo y consultar directamente con la autoridad local.
¿Qué diferencia hay entre un QR estático y un QR dinámico?
Un QR estático codifica directamente la URL de destino en el propio código: lo que ves en el QR es lo que hay. Un QR dinámico codifica la URL de un servidor intermediario, que luego redirige al destino final. Eso permite cambiar el destino sin reimprimir el código, lo que es útil para los negocios, pero también significa que el destino puede modificarse después de que el código haya sido impreso y distribuido, lo que lo hace potencialmente más peligroso si el servidor intermediario queda comprometido.
¿El modo incógnito del navegador protege contra los QR maliciosos?
No. El modo incógnito no guarda el historial localmente y no mantiene cookies entre sesiones, pero no impide que el navegador acceda a páginas de phishing ni que esas páginas funcionen con normalidad. El modo incógnito no bloquea malware, no filtra URLs maliciosas ni ofrece ninguna protección adicional frente a los riesgos que plantea el quishing.
¿Qué hacer si ya he introducido datos en una página a la que me llevó un QR sospechoso?
Si introdujiste una contraseña, cámbiala de inmediato en el servicio afectado y en cualquier otro donde uses la misma contraseña. Si introdujiste datos bancarios o de tarjeta, contacta con tu banco lo antes posible para bloquear preventivamente la tarjeta y revisar si hay cargos no autorizados. Cuanto antes se actúe, más posibilidades hay de limitar el daño. También puedes reportar el incidente al INCIBE a través de su línea de ayuda gratuita 017.
🚀 ¿Te ha gustado?
No te pierdas lo próximo. Únete al canal de Telegram y recibe las curiosidades directo en tu móvil.
Unirme al Canal GRATIS
