Lo que no puedes ver en ese pequeño cuadrado podría vaciar tu cuenta bancaria en segundos.
Estás en un restaurante. El mesero te da una tarjeta con un código QR para ver el menú del día. Sacas el teléfono, lo escaneas y… quizás acabas de cometer el mayor error digital de tu jornada.
Los códigos QR son ya parte de la vida cotidiana. Desde la pandemia de COVID-19, los encontramos en todas partes: restaurantes, museos, aeropuertos, estacionamientos, correos profesionales y carteles publicitarios. Su facilidad de uso los ha vuelto imprescindibles. Pero esa misma popularidad masiva ha atraído la atención de los ciberdelincuentes, quienes comprendieron que podían convertir estos pequeños cuadrados en trampas sofisticadas.
En este artículo exploraremos en profundidad la amenaza de los códigos QR maliciosos —lo que se conoce como quishing— y explicaremos cómo la herramienta de Diagnóstico de DoItQR puede ayudarte a verificar un código QR antes de caer en la trampa.
El término quishing es la contracción de QR code y phishing. El phishing (o suplantación de identidad) es un tipo de fraude en el que un ciberdelincuente se hace pasar por una entidad de confianza para robar información personal, contraseñas o datos bancarios.
El quishing sigue exactamente el mismo principio, pero en lugar de usar un enlace de texto en un correo electrónico, el atacante codifica la URL maliciosa dentro de un código QR. La víctima escanea el código con su smartphone, es redirigida a un sitio fraudulento y queda expuesta a robo de identidad, instalación de malware o fraude financiero directo.
Con un correo de phishing tradicional, un usuario alerta puede examinar el enlace antes de hacer clic. Con un código QR, esa verificación visual es imposible a simple vista. El código es una imagen opaca cuyo contenido no puedes leer sin un escáner. Y aunque lo escanees, muchos usuarios hacen clic en la URL propuesta sin verificar su estructura.
"Los códigos QR no fueron diseñados pensando en la seguridad — fueron creados para facilitar la vida, lo que también los convierte en herramientas perfectas para los estafadores." — Rob Lee, SANS Institute, citado por CNBC, julio 2025
Además, los filtros antispam están entrenados para detectar enlaces sospechosos en textos. Pero un código QR es una imagen — los sistemas de seguridad tradicionales lo tratan como contenido visual inofensivo, lo que a menudo le permite pasar inadvertido.
El quishing no es una amenaza teórica. Las estadísticas publicadas por los principales actores de ciberseguridad en 2024 y 2025 muestran un crecimiento explosivo del fenómeno.
Un ataque de quishing sigue generalmente un esquema de tres pasos simples pero devastadoramente eficaces.
El ciberdelincuente crea un sitio web fraudulento que imita perfectamente un servicio conocido: tu banco, Netflix, PayPal, una empresa de mensajería o el portal interno de tu empresa. Luego genera un código QR apuntando a ese sitio usando cualquier generador gratuito en línea — un proceso que lleva minutos.
| Canal de distribución | Ejemplo real | Nivel de riesgo |
|---|---|---|
| Correo electrónico | Factura falsa, alerta de seguridad | 🟡 Medio |
| SMS | Aviso de entrega falso | 🟡 Medio |
| Espacio público físico | Pegatina sobre un código QR legítimo | 🔴 Alto |
| Correo postal | Multa de tráfico falsa o aviso de entrega | 🔴 Alto |
| Redes sociales | Publicación con premio o descuento y código QR | 🟡 Medio |
Una vez que la víctima escanea el código y llega al sitio fraudulento, se le pide que introduzca sus credenciales o datos bancarios. El atacante los recoge en tiempo real: acceso a cuentas, fraude bancario, robo de identidad o reventa en el mercado negro.
Es difícil — a veces imposible — detectar un código QR peligroso a simple vista. Aun así, varias señales de alerta pueden ponerte sobre aviso.
Caer en la trampa de un código QR malicioso puede tener repercusiones muy serias en tu vida digital y financiera.
Si introduces tu información en un sitio falso, el atacante obtiene tus nombres de usuario, contraseñas y posiblemente números de tarjeta bancaria. Estos datos pueden explotarse directamente o venderse en mercados del dark web.
Algunos códigos QR maliciosos no llevan a un formulario falso — activan directamente la descarga de un malware en tu teléfono. Este software puede ejecutarse en segundo plano, espiar tu actividad, acceder a tus contactos y fotos, e incluso activar tu micrófono sin que lo sepas.
Códigos QR especialmente sofisticados pueden activar automáticamente el envío de correos, la marcación de números de tarificación especial, o la adición de contactos maliciosos en tu agenda — sin ninguna acción explícita de tu parte.
Los altos directivos son estadísticamente 40 veces más propensos a ser víctimas de ataques de quishing que el empleado promedio. La razón es simple: comprometer su cuenta representa un punto de entrada de alto valor para sistemas corporativos completos.
Publicidad
La buena noticia es que unos pocos hábitos simples pueden reducir considerablemente tu exposición a este riesgo.
"Los estafadores pueden reemplazar un código QR legítimo por uno malicioso en segundos, convirtiendo cada código QR público en una trampa potencial." — Adrianus Warmenhoven, experto en ciberseguridad de NordVPN, 2026
Dado que es imposible detectar visualmente un código QR malicioso, necesitas una herramienta que lo analice por ti. Eso es exactamente lo que ofrece DoItQR con su herramienta de Diagnóstico integrada.
La herramienta de Diagnóstico de DoItQR analiza el código QR que le envías y evalúa si el enlace que contiene representa algún riesgo. Comprueba entre otras cosas:
Cuando los ataques de quishing se multiplican de forma exponencial, tener acceso a una herramienta de verificación rápida es tan esencial como tener un antivirus. La herramienta de Diagnóstico de DoItQR es gratuita, no requiere instalación y puede usarse directamente desde tu navegador.
Más allá de su herramienta de diagnóstico, DoItQR ofrece un generador de códigos QR gratuito y personalizable, un escáner integrado y un blog actualizado sobre las mejores prácticas con códigos QR. La plataforma está disponible en francés, inglés y español.
Si el público general está expuesto, las empresas enfrentan una amenaza aún más estructurada. El quishing se usa ahora en campañas de spear phishing — ataques altamente dirigidos — donde empleados específicos reciben códigos QR integrados en documentos profesionales aparentemente legítimos.
Una campaña documentada en 2024 apuntó a cadenas de restaurantes superponiendo códigos QR maliciosos sobre menús impresos, redirigiendo a los clientes a páginas falsas de programas de fidelización para robar sus credenciales.
Microsoft informa haber bloqueado aproximadamente 1,5 millones de intentos de quishing por día en 2024 gracias a sus sistemas de análisis previo a la entrega — una cifra que ilustra la escala industrial del fenómeno.
Los códigos QR han revolucionado la manera en que interactuamos con el mundo digital. Prácticos, rápidos, universales — en pocos años se han convertido en un reflejo natural para miles de millones de usuarios. Pero esa adopción masiva ha abierto una brecha que los ciberdelincuentes no tardaron en explotar.
El quishing es hoy una de las ciberamenazas de crecimiento más rápido, precisamente porque evita nuestras defensas habituales. La respuesta a esta amenaza es doble: educación y tecnología.
Un código QR legítimo nunca te pedirá urgentemente que introduzcas tu contraseña. Y sobre todo, resistirá el análisis de una herramienta de diagnóstico. Tómate un momento para verificar — ese pequeño gesto puede ahorrarte grandes consecuencias.