¿Qué es el quishing? Estafas con código QR
Los códigos QR se volvieron parte de la vida cotidiana. Están en restaurantes, pagos digitales, eventos, formularios, tarjetas personales, campañas publicitarias, turnos online y accesos rápidos a sitios web. Su practicidad es indiscutible: apuntamos con la cámara del celular y en segundos llegamos a una página, una app o un sistema.
Pero esa misma facilidad también abrió la puerta a una nueva modalidad de estafa digital: el quishing, una técnica de phishing que utiliza códigos QR para engañar a los usuarios y llevarlos a sitios falsos, formularios fraudulentos o páginas diseñadas para robar información personal, contraseñas o datos bancarios.
El término quishing surge de combinar QR y phishing. Según especialistas en ciberseguridad, se trata de una evolución del phishing tradicional, donde el enlace malicioso ya no aparece como un link visible en un correo o mensaje, sino oculto dentro de una imagen QR. Esto hace que muchas personas confíen más rápido y que algunos sistemas de seguridad tengan más dificultad para detectar la amenaza.
Qué es el quishing
El quishing es una técnica de ingeniería social en la que los delincuentes crean un código QR malicioso para redirigir a la víctima hacia una página falsa. Esa página puede imitar el sitio de un banco, una plataforma de pagos, una cuenta de correo, una red social, un sistema empresarial o cualquier servicio conocido.
El objetivo suele ser que la persona ingrese información sensible, como:
- Usuario y contraseña.
- Datos de tarjetas.
- Códigos de verificación.
- Accesos a cuentas corporativas.
- Información bancaria.
- Datos personales.
- Credenciales de correo o plataformas internas.
A simple vista, el código QR puede parecer legítimo. Puede estar en un cartel, una factura, un correo electrónico, un PDF, una etiqueta pegada sobre otro QR real o incluso en un paquete recibido sin haberlo solicitado. El FBI alertó en 2025 sobre casos donde se usaban códigos QR en paquetes no solicitados para iniciar fraudes financieros.
Cómo funciona una estafa con código QR
El funcionamiento del quishing suele seguir una secuencia simple:
Primero, el atacante crea una página falsa que imita a una empresa, banco, billetera virtual, correo electrónico o plataforma conocida. Luego genera un código QR que dirige a esa página. Después distribuye ese QR en correos, mensajes, afiches, stickers, facturas falsas, redes sociales o documentos adjuntos.
Cuando la víctima escanea el código, llega a una web que parece confiable. Allí se le puede pedir que inicie sesión, complete un formulario, realice un pago, descargue un archivo o verifique una supuesta cuenta bloqueada.
El problema es que, en muchos casos, el usuario no revisa con atención la dirección web antes de ingresar sus datos. En dispositivos móviles, además, la URL suele verse más pequeña o incompleta, lo que facilita el engaño.
Microsoft explica que los códigos QR representan un desafío particular para la seguridad del correo porque suelen aparecer como imágenes y no como enlaces de texto tradicionales, por lo que pueden evitar controles que sí detectarían links sospechosos.
Por qué el quishing está creciendo
El crecimiento del quishing tiene una explicación clara: cada vez usamos más códigos QR y confiamos demasiado en ellos.
Durante los últimos años, los QR pasaron de ser una herramienta ocasional a formar parte de experiencias comerciales, gastronómicas, educativas, médicas, bancarias y corporativas. Se usan para pagar, registrarse, descargar información, acceder a promociones, validar turnos o completar formularios.
Para los ciberdelincuentes, esto representa una gran oportunidad. Un QR no muestra directamente el destino al que nos llevará. A diferencia de un enlace escrito, el usuario no puede leerlo antes de escanearlo. Esa opacidad convierte al código QR en una herramienta ideal para ocultar enlaces maliciosos.
Además, muchas campañas de quishing buscan sacar al usuario del entorno protegido de una computadora corporativa y llevarlo al celular personal, donde puede haber menos controles de seguridad, menos filtros y más impulsividad al actuar. Investigaciones recientes advierten que esta técnica se está usando justamente para evadir defensas tradicionales y mover a la víctima hacia dispositivos menos protegidos.
Ejemplos comunes de quishing
El quishing puede aparecer en situaciones muy cotidianas. Algunos ejemplos frecuentes son:
Códigos QR falsos en comercios o espacios públicos
Un atacante puede pegar un sticker con un QR falso sobre el código original de un comercio, estacionamiento, menú, cartel informativo o sistema de pago.
Correos electrónicos con QR malicioso
En lugar de incluir un enlace visible, el correo contiene una imagen con un QR. El mensaje puede decir que hay que verificar una cuenta, revisar una factura, acceder a un documento o restablecer una contraseña.
Facturas o comprobantes falsos
El usuario recibe un supuesto comprobante con un QR para pagar, descargar información o consultar un detalle. Al escanearlo, entra en una web fraudulenta.
Promociones falsas
Se ofrece un descuento, sorteo o beneficio exclusivo mediante QR. La víctima escanea y completa datos personales o bancarios.
QR en paquetes no solicitados
Algunos fraudes incorporan códigos QR en productos o paquetes inesperados para despertar curiosidad y llevar al usuario a una página maliciosa.
Cómo detectar un código QR sospechoso
No todos los QR son peligrosos, pero es importante aprender a detectar señales de alerta.
Un código QR puede ser sospechoso si aparece pegado encima de otro, si está en un lugar público sin identificación clara, si llega por correo con un mensaje urgente, si promete premios demasiado atractivos, si pide iniciar sesión en una cuenta importante o si dirige a una dirección web extraña.
También hay que prestar atención a los dominios. Por ejemplo, una web falsa puede parecerse mucho a una real, cambiando apenas una letra, agregando guiones o usando extensiones poco habituales.
Antes de ingresar datos, conviene revisar si la dirección comienza con https, si el dominio pertenece realmente a la empresa y si la página tiene errores visuales, textos mal redactados o formularios innecesarios.
Cómo protegerse del quishing
La prevención es la mejor defensa. Estas son algunas recomendaciones simples para usuarios y empresas:
Revisar la URL antes de ingresar datos
Después de escanear un QR, no hay que avanzar automáticamente. Primero conviene mirar bien la dirección web.
No iniciar sesión desde un QR recibido por correo o WhatsApp
Si el mensaje dice que hay que verificar una cuenta, cambiar una contraseña o revisar un pago, es mejor ingresar manualmente al sitio oficial desde el navegador.
Evitar escanear QR pegados en lugares públicos sin control
Si un QR parece un sticker agregado o está colocado de forma sospechosa, es mejor no usarlo.
Usar aplicaciones oficiales para pagos
Cuando se trate de pagos, conviene abrir directamente la app oficial del banco, billetera virtual o proveedor.
Capacitar al equipo de trabajo
En empresas, la seguridad no depende solo de herramientas técnicas. También es clave que las personas sepan reconocer engaños.
Controlar los QR propios de la empresa
Si una empresa usa QR en cartelería, folletos, eventos o locales físicos, debe revisar periódicamente que no hayan sido reemplazados o alterados.
Implementar autenticación en dos pasos
Aunque no elimina todos los riesgos, la autenticación en dos pasos agrega una capa de protección ante el robo de contraseñas.
El riesgo para empresas y negocios
Para una empresa, el quishing puede generar mucho más que una simple molestia. Puede derivar en robo de credenciales, accesos no autorizados, pérdida de información, fraude económico, daño reputacional o compromiso de cuentas corporativas.
También puede afectar la confianza de los clientes. Si un negocio utiliza códigos QR para pagos, turnos, formularios o promociones, debe asegurarse de que esos accesos sean seguros y estén correctamente identificados.
En un contexto donde cada vez más procesos comerciales se digitalizan, la seguridad ya no es un detalle técnico: es parte de la experiencia del usuario y de la confianza que una marca transmite.
Códigos QR seguros: una responsabilidad digital
Los códigos QR no son el problema. El problema es usarlos sin controles, sin diseño seguro y sin educar a los usuarios sobre los riesgos.
Una estrategia digital profesional debe contemplar no solo el diseño de una web, una tienda online o una campaña, sino también la seguridad de los accesos, formularios, enlaces, sistemas de pago y canales de contacto.
En Ideas Web desarrollamos soluciones digitales pensadas para empresas que necesitan presencia online, pero también confianza, claridad y protección. Porque una buena experiencia digital no se trata solo de verse bien: también debe ser segura, confiable y preparada para los nuevos riesgos del entorno online.
Conclusión
El quishing es una amenaza cada vez más presente porque aprovecha algo que usamos todos los días: los códigos QR. Su efectividad se basa en la confianza, la velocidad y la falta de revisión antes de hacer clic o ingresar datos.
La mejor defensa es combinar tecnología, criterio y educación digital. Antes de escanear un QR, conviene detenerse unos segundos, revisar el origen y verificar la dirección a la que nos lleva.
En internet, muchas estafas no empiezan con un virus sofisticado, sino con una acción simple: escanear sin mirar.
Preguntas frecuentes sobre quishing
¿Qué significa quishing?
Quishing significa phishing mediante códigos QR. Es una técnica de engaño digital donde un QR dirige a la víctima hacia una web falsa o maliciosa.
¿Todos los códigos QR son peligrosos?
No. La mayoría de los códigos QR son legítimos. El riesgo aparece cuando el código fue manipulado, reemplazado o creado para dirigir a una página fraudulenta.
¿Cómo saber si un QR es seguro?
Antes de ingresar datos, hay que revisar la URL, verificar que pertenezca a la empresa real y evitar acceder desde códigos recibidos en mensajes sospechosos o pegados en lugares públicos sin control.
¿Qué puede robar un ataque de quishing?
Puede robar contraseñas, datos bancarios, accesos a cuentas, información personal, códigos de verificación o credenciales corporativas.
¿Cómo pueden protegerse las empresas?
Las empresas deben capacitar a su equipo, controlar los QR que usan públicamente, proteger sus formularios, usar dominios confiables y aplicar medidas de seguridad en sus plataformas digitales.
| Por Juan Pablo Tabone