El quishing es phishing disfrazado de código QR. En lugar de un enlace sospechoso que hueles a distancia, te ponen un cuadradito de píxeles que no dice nada hasta que tu móvil lo escanea y ya estás en la web del estafador. La estafa QR funciona porque nadie desconfía de un QR: los usamos para pagar, para ver la carta del restaurante y para conectarnos al wifi. Ese exceso de confianza es justo lo que explota el phishing QR. Un código QR falso pegado encima del verdadero, un QR malicioso impreso en una multa de aparcamiento que no existe, y listo. En MataSpam vemos pasar estos intentos cada semana, así que vamos a explicarte cómo funciona y, sobre todo, cómo no picar.
Qué es el quishing y por qué se ha puesto de moda
La palabra sale de mezclar QR con phishing. La técnica es vieja; el envoltorio es nuevo. El atacante genera un QR que apunta a una web falsa, normalmente una copia calcada de tu banco, de Correos o de la DGT.
El truco tiene ventaja sobre el phishing clásico. Un filtro de correo analiza texto y enlaces. Un QR es una imagen, y muchos sistemas antispam no la leen. El enlace viaja escondido dentro de los píxeles y se cuela en la bandeja de entrada como si nada.
Súmale el factor humano. Escaneas con el móvil, un dispositivo con menos protecciones que tu ordenador y con una pantalla pequeña donde la URL apenas se ve. La agencia europea de ciberseguridad, ENISA, lleva desde 2023 avisando del repunte de estos fraudes basados en ingeniería social. No es ciencia ficción: es lo que hay.
Dónde te encontrarás un QR malicioso
Los sitios favoritos de los estafadores tienen un patrón. Buscan lugares donde escanear un QR parezca lo más normal del mundo.
- Pegatinas físicas: encima del QR real de un parquímetro, un cargador de coche eléctrico o el menú de un bar. Despegan el bueno, pegan el suyo.
- Correos electrónicos: el clásico "verifica tu cuenta escaneando este código". El banco nunca te pedirá esto, pero el miedo funciona.
- Multas y notificaciones falsas: un papel en el parabrisas con el logo del ayuntamiento y un QR para "pagar la sanción con descuento".
- Paquetería: SMS de una entrega fallida con QR para "reprogramar el envío". Correos y las empresas de mensajería están entre las marcas más suplantadas de España.
- Carteles en la calle: promociones, sorteos, "gana un iPhone escaneando aquí". Spoiler: no ganas nada.
La regla es simple: un QR en un contexto donde no lo esperabas merece desconfianza. Antes de escanear cualquier enlace, dudoso o no, te viene bien saber cómo comprobar si un enlace es seguro antes de hacer clic.
Señales de alerta que delatan una estafa QR
No hace falta ser perito informático. Con fijarte en un par de cosas ya reduces el riesgo casi a cero.
| Señal | Qué significa |
|---|---|
| La URL previa no coincide con la marca | El dominio real de tu banco no lleva guiones raros ni terminaciones tipo .info o .top |
| Acortadores de enlaces (bit.ly, tinyurl) | Esconden el destino real. Legítimo a veces, pero motivo para frenar |
| Pegatina superpuesta | Si notas relieve o un adhesivo encima de otro, sospecha |
| Piden datos sensibles nada más entrar | Contraseña, PIN, DNI o tarjeta a bocajarro es bandera roja |
| Urgencia artificial | "Tu cuenta se bloqueará en 24h". El pánico apaga el sentido común |
Tu móvil es tu aliado. Tanto iOS como Android muestran la URL de destino antes de abrirla cuando enfocas un QR con la cámara. Léela. Esos dos segundos valen oro.
Cómo protegerte del phishing QR
La defensa contra el quishing es una mezcla de hábitos y herramientas. Ninguna app te salva si escaneas con los ojos cerrados, pero combinadas funcionan bien.
- Previsualiza siempre la URL antes de abrirla. Si el móvil no te la enseña, cambia la configuración de la cámara o usa un lector que sí lo haga.
- Analiza el enlace sospechoso en VirusTotal, que cruza la URL con decenas de motores de análisis y te dice si está reportada como maliciosa.
- Nunca introduzcas credenciales en una web a la que llegaste por un QR. Abre la app oficial o teclea tú la dirección.
- Activa la verificación en dos pasos en banca, correo y redes. Aunque piques y suelten tu contraseña, el segundo factor les corta el paso.
- Comprueba si tus datos ya se filtraron en Have I Been Pwned. Si tu correo aparece en una brecha, cambia contraseñas y desconfía del doble.
- Usa un gestor de contraseñas. Herramientas como KeePassXC no autocompletan en dominios falsos, así que el propio programa te avisa de que algo no cuadra.
Para un negocio, la cosa se pone seria. Un empleado que escanea un QR malicioso puede abrir la puerta a media empresa. Si gestionas un equipo, tener listo un plan de respuesta a incidentes marca la diferencia entre un susto y un desastre. Y si necesitas montar la infraestructura digital de forma sólida desde el principio, en Piqture aplican IA a la seguridad de empresas de manera práctica.
Qué hacer si ya has picado
Respira. Le pasa a gente lista todos los días. Lo importante es actuar rápido, no flagelarte.
- Cambia la contraseña del servicio afectado de inmediato, desde un dispositivo distinto y de confianza.
- Llama a tu banco si introdujiste datos de tarjeta. Bloquear y reemitir la tarjeta es cuestión de minutos.
- Revisa los movimientos de tus cuentas los días siguientes. Los cargos fraudulentos a veces son pequeños al principio para pasar desapercibidos.
- Denuncia ante la Policía Nacional o la Guardia Civil (Grupo de Delitos Telemáticos) y reporta el fraude al INCIBE, que ofrece la línea gratuita 017.
- Avisa a tu entorno si el ataque llegó por un mensaje que parecía tuyo. Cortas la cadena.
El Reglamento General de Protección de Datos (RGPD) y la ley española obligan a las empresas a notificar brechas que afecten a tus datos. Si una compañía fue el origen de la filtración, tienes derecho a reclamar.
Preguntas frecuentes
¿Un QR puede instalar un virus solo con escanearlo?
Escanear un QR no instala nada por sí solo; lo que hace es abrir un enlace. El peligro llega si esa web te descarga una app maliciosa o te engaña para que introduzcas datos. El escaneo es la puerta, no el ladrón.
¿Cómo sé si un código QR es falso?
Previsualiza la URL antes de abrirla y comprueba que el dominio coincide con la marca oficial, sin guiones ni terminaciones extrañas. En QR físicos, mira si hay una pegatina superpuesta. Ante la duda, no lo escanees y ve directo a la web o app oficial.
¿Es seguro pagar con QR en un bar o comercio?
Sí, siempre que el QR lo genere el datáfono o la app de pago en el momento, delante de ti. Desconfía de códigos impresos y plastificados que llevan meses pegados a la mesa, porque son fáciles de manipular.
¿Los antispam detectan el quishing?
Los filtros clásicos lo tienen difícil porque el enlace viaja dentro de una imagen, no como texto. Los sistemas modernos con IA, como el de MataSpam, sí analizan las imágenes de los correos para leer el QR y comprobar su destino antes de que llegue a tu bandeja.
¿Dónde denuncio una estafa por QR en España?
Puedes reportarla al INCIBE llamando gratis al 017 y presentar denuncia ante la Policía Nacional o el Grupo de Delitos Telemáticos de la Guardia Civil. Guarda capturas y cualquier prueba del fraude.
El siguiente paso
Coge tu móvil ahora mismo, abre la cámara y enfoca cualquier QR que tengas cerca. Fíjate en si te muestra la URL de destino antes de abrirla. Si no lo hace, entra en los ajustes de la cámara y activa esa opción, o instala un lector que la enseñe. Ese único cambio convierte cada futuro escaneo en una decisión informada en lugar de un salto al vacío. Y si te ha servido, échale un ojo al resto de guías del blog de MataSpam para seguir un paso por delante de los que viven de tu descuido.


