Qué es el quishing y cómo protegerse del phishing con códigos QR
Imagina que ves un código QR en un cartel, un correo electrónico o la mesa de un restaurante. Lo escaneas con tu móvil, y sin darte cuenta, entras a un sitio web falso.
El quishing es un método que es peligroso y es muy fácil de caer.
/Foto: Especial
Imagina que ves un código QR en un cartel, un correo electrónico o la mesa de un restaurante. Lo escaneas con tu móvil, y sin darte cuenta, entras a un sitio web falso que roba tu contraseña o instala un virus en tu teléfono. Eso es el quishing, también llamado phishing con código QR o QR phishing. Es una amenaza real que está creciendo porque los códigos QR son cada vez más comunes en el día a día: menús digitales, pagos, promociones, verificaciones de cuentas.
En un ataque de quishing, los delincuentes crean un código QR falso y lo vinculan a una página maliciosa. Cuando la víctima lo escanea con la cámara de su teléfono, es redirigida automáticamente a ese sitio. Allí le piden que introduzca datos personales, como su correo, contraseña, número de tarjeta de crédito o incluso su identificación. El objetivo final puede ser el robo de identidad, el fraude financiero o instalar ransomware en el dispositivo. La dificultad adicional es que los códigos QR son solo imágenes, y muchos filtros de seguridad de correo electrónico no pueden leerlos. Por eso el quishing pasa desapercibido más fácilmente que el phishing tradicional.
ES DE INTERÉS: Delincuentes perfeccionan el fraude telefónico en México: conoce sus mentiras más comunes en 2026 y cómo evitar ser víctima
Cómo funciona el quishing paso a paso y por qué es peligroso
El quishing aprovecha la confianza que los usuarios tienen en los códigos QR. La mecánica es simple pero efectiva. Primero, el atacante genera un código QR que apunta a un sitio web falso, casi idéntico al de un banco, una empresa de mensajería o una red social. Después, coloca ese código QR en un lugar donde la víctima lo vea: un correo electrónico urgente, un mensaje de texto, un anuncio en redes sociales, un folleto impreso o incluso una pegatina pegada sobre un código QR legítimo (por ejemplo, en un estacionamiento o un restaurante).
Cuando la víctima escanea el código con su teléfono, el navegador se abre automáticamente y la lleva al sitio malicioso. Allí, una página bien diseñada le pide que inicie sesión, que verifique su cuenta o que introduzca datos de pago para “activar un premio” o “evitar que le bloqueen la cuenta”. Todo lo que escriba va directamente a los atacantes. Una vez que tienen esa información, pueden vaciar cuentas bancarias, vender los datos en la dark web o secuestrar el dispositivo con un rescate.
El quishing es especialmente peligroso porque el usuario no puede ver a dónde lleva el código QR antes de escanearlo. A diferencia de un enlace web normal (donde al menos ves la dirección URL), un código QR es una caja negra. Además, al escanearlo con el móvil, muchas personas omiten revisar la URL completa porque confían en el origen del código.
6 medidas clave para evitar ser víctima de quishing
Para protegerte del quishing, no necesitas ser un experto en ciberseguridad. Solo aplicar estas seis medidas prácticas cada vez que te encuentres con un código QR. Sigue estas reglas:
Verifica la URL antes de hacer clic o enviar datos. Cuando escanees un código QR, la mayoría de teléfonos muestran una vista previa del enlace antes de abrirlo. Revisa que el dominio sea correcto y oficial. Si ves algo como “bit.ly/2fH3k” sin contexto, desconfía.
No introduzcas información personal ni financiera después de escanear un código QR. Ni tu contraseña, ni tu número de tarjeta, ni tu dirección, ni tu fecha de nacimiento. Si un sitio te pide eso justo después de escanear un código QR, es casi seguro un ataque.
Desconfía de mensajes con urgencia o premios. Si un correo, cartel o mensaje te dice “Escanea ahora o perderás tu cuenta” o “Felicidades, has ganado un premio escanea aquí”, es una táctica de ingeniería social muy usada en quishing.
LEE TAMBIÉN: Alerta por nueva forma de estafa con BBVA: Te explicamos cómo actúan los estafadores, cómo proteger tu cuenta
Comprueba el remitente real del correo o mensaje. En un correo electrónico, mira la dirección completa del remitente, no solo el nombre que aparece. Busca faltas de ortografía, dominios extraños (ej: @seguridad-banco-xyz.com en lugar de @bancooficial.com).
No descargues nada desde un sitio al que llegaste mediante un código QR. Los atacantes pueden disfrazar un archivo malicioso (como un APK o un PDF con macros) como una actualización, una factura o un cupón.
Mantén actualizado tu teléfono y usa un lector de códigos QR seguro. Las actualizaciones del sistema operativo corrigen vulnerabilidades conocidas. Además, algunos lectores de QR seguros verifican automáticamente la reputación del enlace antes de abrirlo.
Estas medidas funcionan tanto para empresas como para usuarios domésticos. Si aplicas estas reglas de forma sistemática, reduces más del 90% del riesgo de caer en quishing.
Señales de alerta para identificar un ataque de phishing con código QR
Antes de escanear cualquier código QR, haz una pausa de cinco segundos y busca estas banderas rojas. Si detectas al menos una de ellas, es mejor no escanear el código o investigar más a fondo. Estas son las señales de alerta más comunes en un ataque de quishing:
- Saludos genéricos o impersonales: mensajes que te llaman “Estimado cliente”, “Usuario” o “Señor/Señora” sin usar tu nombre real.
- Faltas de ortografía, mala gramática o errores de traducción: los correos y mensajes de quishing a menudo contienen errores que no tendría una comunicación oficial.
- Solicitud directa de información confidencial: ningún banco, empresa de mensajería o plataforma seria te pedirá tu contraseña, número de tarjeta o código de verificación por un código QR.
- Enlaces acortados o dominios extraños: si la URL comienza con acortadores como bit.ly, tinyurl o tiene nombres de dominio recién registrados o con faltas, desconfía.
El código QR está pegado sobre otro original: en lugares públicos (restaurantes, parkings, aeropuertos), los atacantes a veces colocan una pegatina con su código QR encima del legítimo. Tira suavemente del código para comprobar si es una pegatina.
Promesas demasiado buenas para ser verdad: ofertas imposibles, premios millonarios, sorteos sin haber participado. Si parece un regalo, probablemente es una trampa.
Si identificas alguna de estas señales, no escanees el código. En su lugar, contacta directamente con la entidad por canales oficiales (teléfono o web conocida) para verificar si la comunicación es auténtica.
El quishing es una variante del phishing que aprovecha la popularidad y confianza en los códigos QR. Los atacantes crean códigos falsos vinculados a sitios maliciosos para robar contraseñas, datos bancarios o instalar malware. A diferencia del phishing por correo tradicional, el quishing elude muchos filtros de seguridad porque los códigos QR son imágenes que los sistemas de correo convencionales no interpretan. Por eso, la primera línea de defensa eres tú con medidas prácticas: verifica siempre la URL, no introduzcas datos personales tras escanear un código, desconfía de mensajes urgentes o premios, comprueba al remitente y mantén tu dispositivo actualizado.
Para protegerse de forma efectiva, aplica siempre la regla de oro: antes de escanear cualquier código QR, pregúntate de dónde viene y qué necesitas realmente. Si el código aparece en un correo inesperado, un cartel callejero sin respaldo oficial o una red social sin verificar, mejor no escanearlo. Activa también la autenticación multifactor (MFA) en todas tus cuentas importantes: así, aunque roben tu contraseña, no podrán acceder sin un segundo factor. Con estas prácticas diarias, reduces drásticamente el riesgo de ser víctima de quishing. DJ
