Blog Consejos y trucos de seguridad ¿Qué es el quishing? Cómo funcionan los fraudes con códigos QR y cómo evitarlos

¿Qué es el quishing? Cómo funcionan los fraudes con códigos QR y cómo evitarlos

Apr 09, 2026

6 MIN DE LECTURA

Creías estar escaneando la carta de un restaurante.

O pagando por estacionarte. O comprobando un aviso de paquete pegado en tu puerta. Un análisis rápido, un logotipo conocido, una página que se carga al instante en tu teléfono.

Nada de esto parecía peligroso.

Precisamente por eso se extienden tan rápidamente los fraudes con códigos QR.

Los códigos QR ya forman parte de nuestra vida diaria. Están en las mesas de los restaurantes, en letreros públicos, en emails, campañas publicitarias y pantallas de pago. Nos enseñaron a tratarlos como accesos directos: más rápidos que escribir una URL, más fáciles que descargar una aplicación, más seguros que hacer clic en un enlace.

Los estafadores lo saben.

En lugar de pedirte que hagas clic en un enlace sospechoso, te piden que escanees algo perfectamente ordinario. En cuanto lo haces, te pueden redirigir a páginas de inicio de sesión falsas, solicitudes de pago o sitios maliciosos diseñados para robar tu información antes de que te des cuenta de que algo va mal.

Esta táctica tiene un nombre: quishing.

Y a medida que los códigos QR sustituyen a los enlaces en el mundo real, es fundamental saber cómo funciona el quishing para mantenerse seguro en Internet. 

¿Qué es el quishing? 

El quishing es una forma de phishing que, en lugar de enlaces en los que se hace clic, utiliza códigos QR para engañar a los usuarios y conseguir que visiten sitios web maliciosos o faciliten información confidencial.

El término combina QR y phishing, y refleja un cambio simple pero peligroso en las tácticas de estafa: en lugar de pedirte que hagas clic, los estafadores te piden que escanees.

Una vez escaneado, el código QR falso puede llevarte a:

  • Páginas de acceso que recopilan tus credenciales
  • Solicitudes de pago o facturas falsas
  • Descargas de malware
  • Falsos portales de soporte al cliente
  • Trampas de suscripción 

Como los códigos QR no muestran una URL visible antes de escanearlos, desaparece una de las señales de advertencia de estafa más importantes para la gente. 

Fraudes habituales con códigos QR de los que debes cuidarte

Aunque los ataques de quishing varían, la mayoría sigue unos patrones predecibles.

1. Códigos QR falsos de estacionamiento y pago

Los estafadores colocan etiquetas adhesivas sobre los códigos QR legítimos de los parquímetros. Al escanearlos, las víctimas abren páginas de pago falsas que les roban sus datos de la tarjeta.

Señales de alarma: el código QR pide todos los datos de pago sin redirigir a un servicio municipal o de estacionamiento conocido.

2. Sustitución del menú en restaurantes

Los estafadores sustituyen los códigos QR reales de los menús por otros falsos que redirigen a páginas de phishing o descargas maliciosas.

Señales de alarma: la página de menú te pide que “inicies sesión”, descargues una aplicación o confirmes datos personales.

3. Avisos de entrega y envío

Un aviso o una etiqueta en la puerta te indica que no pudo realizarse una entrega y te pide que escanees un código QR para reprogramarla.

Señales de alarma: detalles de entrega imprecisos y presión para actuar con rapidez.

4. Falsas advertencias de seguridad de una cuenta

Un código QR te indica que tu cuenta en el banco, servicio de streaming o email precisa verificación.

Señales de alarma: el código QR exige una acción inmediata por “razones de seguridad”.

5. Trampas de suscripción y ofertas falsas

Algunos códigos QR prometen descuentos, reembolsos o recompensas, pero calladamente inscriben a los usuarios en costos recurrentes.

Señales de alarma: no hay letra pequeña o es difícil de encontrar.

Por qué el quishing es especialmente peligroso

Los fraudes con QR tienen éxito no porque la gente sea descuidada, sino porque se aprovechan de su confianza y sus hábitos.

A diferencia de los emails de phishing tradicionales, el quishing:

  • Se produce a la vez tanto offline como online
  • A menudo tiene lugar en lugares físicos de confianza
  • Parece más rápido y más “legítimo”
  • Evita la inspección visual del enlace

Una vez que la víctima entra en un sitio falso, el daño puede agravarse rápidamente, por ejemplo, con el robo de sus credenciales o su identidad o el vaciado de sus cuentas.

Cómo detectar un código QR falso antes de escanearlo

No hace falta que evites por completo los códigos QR, pero sí que vayas más despacio.

Comprueba el contexto físico

¿Está el código QR pegado, deteriorado o superpuesto a otro código? Es una táctica habitual.

Busca incoherencias de marca

Algunas señales de alarma son faltas de ortografía, logotipos genéricos o colores que no combinan.

Previsualiza el enlace

Ahora la mayoría de las cámaras de los teléfonos muestran la URL antes de abrirla. Tómate un segundo para leerla.

Sé escéptico ante la urgencia

Cualquier código QR que te presione para actuar inmediatamente merece investigación adicional.

Cómo protegerse de los fraudes con códigos QR

Paso 1: trata los códigos QR como enlaces

Un código QR es un acceso directo a un sitio web. Aplica la misma precaución que aplicarías a cualquier enlace.

Paso 2: evita ingresar información confidencial

Los servicios legítimos rara vez solicitan contraseñas, información de pago o datos personales a través de códigos QR.

Paso 3: utiliza herramientas de seguridad para móviles

El software de seguridad puede ayudar a detectar sitios maliciosos y bloquear descargas peligrosas antes de que se produzcan daños.

Paso 4: en caso de duda, accede directamente

En lugar de escanear, visita manualmente el sitio web oficial o la aplicación de tu confianza.

Qué hacer si escaneaste un código QR sospechoso

Si crees que interactuaste con un código QR malicioso:

  • Deja de interaccionar con el sitio inmediatamente
  • No ingreses información adicional
  • Vigila si se produce actividad inusual en tus cuentas financieras
  • Cambia las contraseñas si ingresaste credenciales
  • Ejecuta un análisis de seguridad en tu dispositivo; accede a nuestra prueba gratuita
  • Comunica el incidente a la empresa o el lugar de que se trate

Una rápida actuación puede limitar las consecuencias a largo plazo.

Preguntas frecuentes

En pocas palabras, ¿qué es el quishing?
El quishing es el phishing que utiliza códigos QR para conseguir que la gente visite sitios web falsos o maliciosos.

¿Son los códigos QR intrínsecamente inseguros?
No, pero pueden utilizarse indebidamente. El riesgo está en adónde conducen, no en el código en sí.

¿Puede instalarse malware al escanear un código QR?
En algunos casos, sí, especialmente si solicita una descarga o redirige a un sitio malicioso.

¿Están aumentando los fraudes con QR?
Sí. A medida que los códigos QR se hacen más habituales, los estafadores los utilizan cada vez más para eludir las defensas tradicionales.

Presentamos McAfee+

Protección contra robo de identidad y privacidad para tu vida digital

FacebookLinkedInTwitterEmailCopy Link

Mantente al día

Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.

FacebookTwitterInstagramLinkedINYouTubeRSS

Más artículos de Consejos y trucos de seguridad

Back to top