El cuadrado en blanco y negro que se popularizó durante la pandemia como puente sin contacto hacia menús, pagos y formularios se ha convertido también en una puerta de entrada para estafadores. La técnica, conocida como “QRishing” (phishing con códigos QR), explota la confianza y la inercia del usuario: se escanea, se pulsa y, sin darse cuenta, se entregan credenciales, datos personales o se autoriza un pago.

De la comodidad al riesgo

Los códigos QR no son peligrosos por sí mismos; son un contenedor que apunta a una dirección o acción: abrir un enlace, descargar una app, iniciar un chat, configurar una red Wi‑Fi o disparar un pago.

El problema aparece cuando el código redirige a un sitio malicioso que imita servicios legítimos (bancos, paquetería, administración pública) o cuando activa automatismos sin que el usuario los identifique con claridad.

Los delincuentes han perfeccionado dos vectores: la sustitución y el señuelo. En la sustitución, colocan stickers con códigos falsos sobre los oficiales de carteles de eventos o mesas de restaurantes. En el señuelo, envían códigos por correo, mensajería o redes sociales con mensajes de urgencia: “verifique su cuenta”, “su paquete está retenido”, “evite una multa”.

Cómo funciona el engaño

El recorrido suele incluir varios pasos que, en conjunto, reducen la vigilancia del usuario:

El código dirige a una página que imita a la original, con logotipos y colores correctos, a menudo alojada en dominios similares pero con pequeñas variaciones. La web solicita credenciales o datos de tarjeta “para verificar la identidad” o “confirmar el pago”. Si el servicio original usa doble factor, los criminales pueden pedir el código temporal en tiempo real, actuando como intermediarios (man‑in‑the‑middle) para entrar en la cuenta. En escenarios de pago, se induce al usuario a autorizar transferencias instantáneas o a registrar una tarjeta en un wallet controlado por los estafadores.

En empresas, el QRishing se combina con campañas de spear phishing: códigos en invitaciones a eventos, supuestas encuestas internas o cartelería en oficinas que deriva a portales corporativos falsos. El objetivo: capturar credenciales de correo, VPN o herramientas de colaboración.

Señales de alerta

Aunque el código es opaco a simple vista, hay pistas que ayudan a detectar el fraude:

Contexto y ubicación. Un QR pegado de forma tosca, con un sticker sobre cartelería oficial o en lugares donde no suele haber códigos, es sospechoso.

Dominio y certificado. Tras escanear, antes de interactuar, conviene revisar la URL completa: errores sutiles, dominios largos o acortadores pueden encubrir riesgos. El candado no garantiza legitimidad, solo cifrado.

Exceso de permisos. Si el enlace solicita instalar una app fuera de tiendas oficiales, permisos invasivos o contraseñas para trámites simples, es una señal de alarma.

Urgencia y presión. Mensajes que amenazan con bloqueos inminentes, multas o pérdidas económicas buscan precipitar decisiones.

Casos y superficies vulnerables

La masificación de pagos y gestiones por QR amplió la superficie de ataque. Estacionamientos han sido escenario recurrente en algunos sitios: sustituir el código por uno que lleve a una pasarela falsa basta para capturar números de tarjeta.

En eventos masivos, códigos en carteles o pantallas pueden enviar a páginas que piden “registro rápido” y extraen datos personales. En restauración, cartas digitales o “programas de fidelización” apócrifos han servido para recolectar credenciales de correo y redes sociales.

En entornos corporativos, la adopción de credenciales QR para visitantes y el uso de pegatinas informativas en espacios comunes abren la puerta a campañas dirigidas. Un código en un ascensor que promete “Wi‑Fi de cortesía” puede, en realidad, exfiltrar tráfico o pedir credenciales.

Por qué crece el QRishing

Tres factores explican su auge: la familiaridad adquirida durante la pandemia, que normalizó “apuntar y pulsar”; la dificultad de auditar visualmente un QR, a diferencia de un enlace escrito; y el bajo costo de ejecución para los atacantes, que solo necesitan impresión básica y un dominio convincente.

Además, la legitimidad social de los códigos —presentes en trámites públicos y servicios esenciales— reduce la sospecha inicial.

Prevención sin fricción

La clave es introducir pequeñas pausas de verificación sin renunciar a la comodidad:

Usá la vista previa del enlace en la app de tu cámara o en un lector de confianza, y comprobá el dominio antes de abrirlo.

Preferí acceder manualmente a servicios sensibles (banca, impuestos, salud) escribiendo la dirección o usando la app oficial, en lugar de seguir códigos o enlaces.

En espacios públicos, buscá señales de manipulación. Si el establecimiento tiene app propia o web conocida, usala.

Activá notificaciones y límites en tus medios de pago para detectar movimientos inusuales con rapidez.

En empresas, formá a empleados y establecé políticas: lectores corporativos que validen dominios, cartelería controlada y canales para reportar códigos sospechosos.

Los proveedores pueden incorporar defensas: códigos firmados o con verificación de integridad, dominios cortos y consistentes, y mensajes claros que eviten solicitar información sensible mediante QR.

Si ya caíste en la trampa

Actuar con rapidez puede contener el daño:

Cambiá inmediatamente las contraseñas comprometidas y activá (o regenerá) el doble factor.

Avisá a tu banco y solicitá el bloqueo o la reversión de operaciones, si es posible.

Revisá dispositivos y permisos concedidos; desinstalá apps ajenas y revocá sesiones abiertas.

Denunciá el sitio o el QR al establecimiento afectado y a las autoridades competentes; ello ayuda a retirar contenidos y prevenir nuevas víctimas.

Un hábito nuevo: escanear con escepticismo

Como ocurrió con el correo electrónico y los enlaces abreviados, la alfabetización digital se adapta a cada tecnología que suma conveniencia. Los códigos QR seguirán siendo útiles —y en muchos casos, imprescindibles—, pero requieren un nuevo reflejo: detenerse un segundo, leer la dirección, desconfiar de la urgencia y preferir rutas oficiales para operaciones críticas.

Escanear con escepticismo es, hoy, la mejor vacuna contra el QRishing.