El “quishing” es phishing con códigos QR: te hacen escanear un QR para llevarte a una web maliciosa que roba datos, te engaña para pagar o intenta colarte malware. Funciona especialmente bien porque al escanear con el móvil no puedes “pasar el ratón por encima” para ver el enlace, y muchas personas escanean sin revisar.
Cómo funciona (casos típicos)
Los delincuentes colocan QRs falsos en sitios con mucha gente (restaurantes, tiendas, tablones) y a veces los ponen como pegatina encima del QR real para que parezca legítimo. Al escanear, pueden redirigirte a una web falsa para robar credenciales, llevarte a una página de pago fraudulenta o incluso disparar descargas maliciosas. También se ve en emails, mensajes y carteles: el QR parece “oficial” y mete urgencia del estilo “tu cuenta caduca” para que actúes rápido.
Señales para detectar un QR falso en 10 segundos
Mira si hay manipulación física: si el QR parece una pegatina encima de otro, trátalo como sospechoso. Antes de abrir nada, previsualiza el destino y fíjate en URLs raras, faltas de ortografía o dominios que no coinciden con la marca (esto es una pista común de fraude). Desconfía si el mensaje te mete prisa o amenaza con consecuencias inmediatas, porque la urgencia es un gancho típico en quishing.
Si puedes, verifica con el negocio o un empleado cuál es el QR correcto, sobre todo en pagos, parkings o trámites “importantes”. Y si te piden iniciar sesión (banco, correo, redes) desde una web abierta por QR, párate: ese es uno de los escenarios clásicos de robo de credenciales.
Cómo protegerte (hábitos que sí sirven)
Usa el lector QR integrado del móvil siempre que sea posible en vez de instalar apps de terceros “random” para escanear. Para pagos o gestiones sensibles, escribe la URL manualmente o usa la app oficial (banco, operador, etc.) en lugar de confiar en un QR pegado en cualquier sitio. Mantén el sistema y las apps actualizadas y activa funciones de seguridad del dispositivo (protección en tiempo real, escaneo) para reducir riesgo si caes en un enlace malo.
Qué hacer si ya escaneaste uno y metiste datos
Si sospechas que el QR era malicioso, desconéctate de internet (datos/Wi‑Fi) para cortar actividad mientras revisas. Pasa un escaneo de seguridad/antimalware en el móvil y revisa si se instaló algo raro o te saltaron permisos extraños.
Si llegaste a poner usuario y contraseña, cambia esas contraseñas cuanto antes (y si puedes, activa 2FA/MFA en esa cuenta). Después, monitoriza tus cuentas y reporta transacciones no autorizadas o accesos sospechosos al servicio afectado.
FAQ rápida
¿Un QR puede “infectar” el móvil solo por escanear? Lo más habitual es que te lleve a una web maliciosa o te empuje a descargar/autorizar algo, por eso el riesgo real empieza cuando abres el enlace y sigues instrucciones.
¿El QR del restaurante siempre es seguro? No necesariamente: pueden sustituirlo físicamente con una pegatina o suplantarlo en un cartel/email.
¿La urgencia es mala señal? Sí, es uno de los trucos más comunes para que no verifiques el enlace.
Otros artículos interesantes
