Hace poco me pregunté: ¿qué sucede exactamente cuando escaneo un código QR en un restaurante o en un cartel publicitario? Resultó que detrás de esos «cuadritos blanco y negro» a menudo hay plataformas de marketing que recopilan datos de cada escaneo. La buena noticia: entender la mecánica elimina la mitad de los riesgos. La mala: los códigos QR dinámicos realmente pueden reunir más información sobre usted de la que querría. He investigado los detalles y comparto qué se filtra, en qué escenarios es peligroso y qué se puede hacer ahora mismo.
Cómo funcionan los rastreadores QR: no hay magia, solo redirección
Al empezar a investigar este asunto, lo primero que averigüé fue la diferencia entre códigos QR estáticos y dinámicos. Un QR estático cifra la dirección final directamente en la imagen —es como una pegatina con una URL. En cambio, un QR dinámico primero lleva a un servicio intermediario (Bitly, Uniqode, Scanova y otros), donde se registra su petición y desde allí se le redirige al sitio final. Es en ese paso intermedio donde la plataforma obtiene la «telemetría del escaneo».
Revisé la documentación de varios servicios populares, y describen bastante abiertamente lo que recopilan. Por ejemplo, QR Code Generator y Bitly Analytics explican directamente la geolocalización por IP y las estadísticas de escaneos. En la ayuda de Uniqode incluso encontré un modo con geolocalización por GPS más precisa —eso sí, solo con su permiso.
¿Qué se recopila exactamente? Telemetría web estándar: hora del escaneo, dirección IP, geolocalización aproximada por IP, tipo de navegador y dispositivo, a veces —la procedencia y cuál código concreto se activó. Esto incluye User-Agent Client Hints, Accept-Language y otras cabeceras HTTP que permiten estimar su plataforma, navegador y idioma preferido.
La conclusión es simple: si un QR pasa por una redirección dinámica, ya lo «contaron» —antes incluso de que llegue al sitio final. Por eso a los mercadólogos les encantan los rastreadores QR: ofrecen analítica en cada etapa.
Qué ve el propietario del código QR sobre mi red y dispositivo
Al profundizar en los detalles técnicos, quedó claro que no se recoge ningún «IMEI secreto», sino telemetría web estándar. Sin embargo, en conjunto permite perfilar bastante bien al usuario.
En primer lugar, su dirección IP y la geolocalización aproximada —al menos país y ciudad, a veces el proveedor u organización. Si está en una VPN corporativa, hacia fuera saldrá la IP del servidor VPN, no su dirección doméstica. En segundo lugar, indicios del cliente como Sec-CH-UA-Platform y Sec-CH-UA-Mobile revelan la plataforma y el tipo de dispositivo.
El idioma de la interfaz se determina por la cabecera Accept-Language, lo que a veces delata la configuración regional. También se registra la hora del escaneo, el tipo de código y analítica paramétrica —por ejemplo, qué cartel o expositor concreto «disparó» el evento. Tras el clic, la página puede solicitar permisos adicionales para GPS, cámara o notificaciones, pero ahí la decisión es suya.
Desmitificaré algunas cosas: sin sus permisos la página no sabrá el IMEI ni la dirección MAC, no leerá la lista de aplicaciones ni «hackeará» el teléfono solo por el hecho de escanear. Pero el fingerprinting por acumulación de señales sí existe —probé mi propia «huella» en Cover Your Tracks, y el resultado fue bastante revelador.
Dónde empieza el peligro real: cuatro escenarios problemáticos
El rastreo QR en sí es marketing. El peligro comienza cuando se combina con ingeniería social y suplantación de contenido. He identificado cuatro amenazas principales con las que se puede topar en la práctica.
Quishing —phishing mediante QR. Es cuando los códigos en correos, estacionamientos y cafeterías llevan a formularios falsos de acceso o de pago. Reguladores incluso alertan sobre el problema: FBI IC3 y FTC. Yo sigo una regla simple: un QR es solo un enlace, por eso siempre verifico el dominio y busco suplantaciones mediante ataques de homógrafos IDN (cuando una letra cirílica o similar se hace pasar por una letra latina).
QRLJacking —secuestro de sesión mediante «acceso por QR». Si una aplicación admite iniciar sesión mediante QR (como la versión web de WhatsApp), un atacante puede presentar un código falso y robar su sesión. Hay detalles en la página de OWASP sobre QRLJacking.
Wi‑Fi por QR. Los códigos con formato WIFI:T:WPA;S:SSID;P:contraseña;; son prácticos, pero en un lugar público es fácil sustituir la pegatina por un «gemelo malicioso». El riesgo es conectarse a un punto de acceso falso que intercepte el tráfico. Yo, como mínimo, verifico el SSID y pregunto al personal; mejor aún, evito la conexión automática mediante códigos QR desconocidos.
Paquetes y correos con «sorpresas». Los envíos masivos con códigos QR dentro de falsos regalos, encuestas y devoluciones son una tendencia relativamente nueva. Incluso hay advertencias regulatorias sobre ello, incluyendo el boletín IC3 del 31 de julio de 2025.
Cómo verifico los códigos QR antes de seguirlos: algoritmo práctico
Durante el estudio desarrollé un esquema de verificación que neutraliza alrededor del 90% de los riesgos cotidianos. Sí, al principio parece meticuloso, pero tras hacerlo un par de veces se vuelve rutina.
Primero escaneo «en seco», sin apertura automática. En Android uso lectores offline que muestran el contenido sin abrir el navegador: Binary Eye o SecScanQR. En iOS el banner del sistema muestra el dominio, así que no hay prisa.
Si veo un enlace corto como bit.ly o tinyurl, siempre resuelvo la redirección hasta el dominio final con ayuda de WhereGoes o ExpandURL. Esto ayuda a entender a dónde conduce realmente el enlace.
Ante la menor duda paso la URL por urlscan.io (allí se ve toda la cadena de peticiones y subdominios) o por VirusTotal. Es como una radiografía antes de visitar un sitio desconocido.
También verifico el dominio por homógrafos —si hay puntos sospechosos sobre letras o los símbolos parecen raros, no dudo en comprobar el Punycode en la barra de direcciones (esa opción está en navegadores como Firefox).
Para enlaces dudosos abro las páginas en un navegador aislado —por ejemplo, Firefox Focus con limpieza automática de datos. En iOS ayuda iCloud Private Relay, que oculta la IP real en Safari.
Y la regla más importante: nada de iniciar sesión o pagar «al instante». Si tras escanear piden autenticación, verificación o pago de inmediato —busco la ruta manual: entro en el sitio de la organización desde cero o pregunto al personal.
En qué fijarse en la barra de direcciones
Muchos fraudes con QR se basan en suplantar el dominio, por eso siempre observo con atención la barra de direcciones. En lugar de bank.example puede aparecer bank.example.support-team.help —ese ya no es su banco, sino un subdominio ajeno.
Los caracteres dobles de alfabetos distintos son una táctica clásica. Puede leer más en Malwarebytes o en Wikipedia. Las trampas favoritas de los estafadores son dominios como pay-secure-brand.com o brand-support-id.com, que se parecen mucho a los legítimos pero no lo son.
Qué deben hacer las organizaciones: cómo no convertir el marketing con QR en una fuga
Si utiliza códigos QR en su negocio, las variantes dinámicas son prácticas para la analítica, pero por defecto revelan información innecesaria sobre los usuarios. Siempre que sea posible, es mejor dirigir los QR a su propio dominio y procesar las estadísticas internamente —cuanto más corta la cadena de redirecciones, menos registros de terceros.
En las plataformas conviene revisar las opciones de analítica: geolocalización por IP agregada sin GPS, almacenamiento sin datos personales, registros reducidos. Las etiquetas UTM para seguimiento de campañas son útiles, pero no hay que incluir información personal innecesaria en el QR.
Los carteles y pegatinas con QR requieren comprobaciones periódicas para detectar sustituciones. Tras eventos, no deje códigos activos con promociones vigentes —pueden aprovecharlos con fines distintos.
Mi lista de verificación antes de escanear cualquier código QR
Al trabajar este tema desarrollé un sencillo algoritmo de verificación. Primero escaneo sin autoredirección con Binary Eye, SecScanQR o el banner del sistema en iOS. Si veo un enlace corto —lo despliego con WhereGoes o ExpandURL. Ante la menor sospecha lo analizo con urlscan.io o VirusTotal.
Siempre compruebo el dominio y descarto homógrafos. Abro enlaces sospechosos en un navegador aislado como Firefox Focus o protegido por Private Relay y VPN. Y sobre todo —nunca inicio sesión ni pago «al vuelo», sino que busco la página correcta manualmente.
Preguntan con frecuencia: ¿puede un código QR infectar el teléfono sin clic? No, el código en sí es solo datos. El peligro empieza después de abrir el enlace y tomar acciones. ¿Ve el propietario del QR mi número de teléfono o IMEI? Tampoco; pero sí ve la IP, el idioma, el tipo de dispositivo y la hora del escaneo. ¿Por qué son peligrosos los QR para acceso por código? La sustitución del código puede robar la sesión —eso se llama QRLJacking, y OWASP describe esta ataque en detalle.
Mis conclusiones
Los rastreadores QR no son una «lupa espía», sino analítica web normal en la etapa de redirección. Pero combinados con ingeniería social se convierten en una herramienta poderosa de engaño: la comodidad junto con el anonimato del código crean el escenario perfecto para phishing y robo de sesiones.
Me salvo con hábitos sencillos: no apresurarme a seguir enlaces, verificar dominios y desplegar redirecciones, aislar enlaces sospechosos y nunca introducir contraseñas en sitios a los que llegué «por la imagen». El resto es cuestión de técnica y sentido común.
