El código QR parece inofensivo hasta que entiendes algo sencillo: no ves adónde lleva. Una sola lectura —y en lugar de pagar el estacionamiento se abre una página bancaria falsa, y en lugar del menú en una cafetería aparece un formulario de «confirmación» con los datos de la tarjeta. Este escenario hace tiempo que se convirtió en un tipo de ataque y recibió el nombre de «quishing».
Qué es el quishing y por qué el código QR resulta atractivo para los estafadores
El quishing es phishing a través de códigos QR. En lugar del enlace habitual en un correo, el atacante coloca una imagen que casi cualquier smartphone identifica en segundos.
Técnicamente, el código QR suele contener una URL. El problema no está en el formato en sí, sino en la transición «a ciegas». El usuario ve un cuadrado con un patrón, no el dominio, el protocolo ni los parámetros del enlace. Eso es lo que explotan, especialmente cuando vas con prisa y estás dispuesto a «pagar rápido».
En los escenarios de pago, el riesgo aumenta porque el QR suele estar relacionado con dinero. El pago puede pasar por la aplicación del banco, por una página web, por una «promoción» de marketing o por un formulario de autorización. En cada variante es posible sustituir el destino final y obligar a la persona a introducir datos innecesarios.
Es importante distinguir entre un QR de pago legítimo y un QR que abre un sitio. En los escenarios oficiales de pago por SBP la confirmación se realiza en el banco, sin introducir los datos de la tarjeta en una página. Esto lo subraya NSPK.
- Un QR con «pago directo» en la aplicación del banco o en un servicio de pago suele ser más seguro, porque confirmas la operación dentro de un entorno de confianza.
- Un QR que abre el navegador y pide introducir datos se utiliza con más frecuencia en ataques.
- La sustitución del QR muchas veces se hace físicamente, con una pegatina sobre el original, o digitalmente, si el código se muestra en pantalla y es fácil de reemplazar.
Dónde se encuentra la sustitución de QR y qué señales deben alertar
Los lugares más frecuentes son aquellos donde el QR se ha convertido en una interfaz habitual: aparcamientos, máquinas expendedoras, folletos en mostradores, anuncios junto al ascensor, placas de pago en pequeños comercios, «recibos» en puertas, envíos con un código adjunto. Son especialmente peligrosas las situaciones en las que la persona actúa de forma automática.
La sustitución en un lugar público suele parecer una pegatina normal. A veces el código está ligeramente desviado, cubre parte del diseño o difiere en el tipo de papel o el brillo. Un caso más peligroso es una impresión que simula una «notificación oficial», donde el QR dirige a un sitio de pago por una «multa» o una «deuda».
En el mundo digital el quishing suele llegar por correo y en PDF. El filtro de correo puede no reconocer el enlace malicioso porque está oculto en una imagen. Microsoft llama la atención de forma específica sobre el phishing por QR y desarrolla protección y formación de usuarios en el ecosistema Defender.
En los pagos es importante entender otro detalle: los QR pueden ser estáticos o dinámicos. En un código estático la suma puede no estar incluida; en el dinámico normalmente se genera para una operación concreta. Para el mercado financiero en Rusia existe un estándar sobre el uso seguro del QR en transferencias, publicado por el Banco de Rusia como documento STO BR BFBO-1.9-2024.
| Tipo de QR | Cómo suele funcionar | Qué verificar |
|---|---|---|
| Estático | El mismo código para el punto o el destinatario | El nombre del destinatario en la aplicación del banco, la suma, ausencia de apertura en el navegador |
| Dinámico | El código se genera para un recibo o una suma concreta | Coincidencia de la suma y del concepto, corrección del comercio, confirmación en la aplicación |
| QR con enlace | Abre un sitio o un formulario en el navegador | Dominio, https, ausencia de acortadores, solicitudes de datos de tarjeta y contraseñas |
Cómo escanear QR de forma segura y verificar el enlace antes de pagar
La regla número uno es no apresurarse. La mayoría de los esquemas de quishing se basan en la velocidad. Te muestran un «pago rápido», pero al final te obligan a abrir el navegador e introducir datos innecesarios. Si la operación se ofrece «en un toque» y ya estás en una página con campos y un temporizador, mejor cierra.
La segunda regla es mirar la vista previa del enlace. La cámara del iPhone y del iPad muestra el enlace clicable al reconocer el código. En Android, la aplicación Cámara de Google también tiene un modo de escaneo.
La tercera regla es preferir el pago a través de la aplicación del banco. En los escenarios de SBP la confirmación se realiza dentro del banco, no en un sitio aleatorio. Las explicaciones y las preguntas frecuentes están disponibles en SBP. Si el QR abre el navegador y pide autenticación, casi siempre es un paso innecesario en un flujo de pago normal.
La cuarta regla es comprobar el dominio, no el «nombre bonito» de la página. Los estafadores copian el diseño y el texto, pero el dominio delata antes que nada. Para una comprobación rápida de la reputación de un sitio se puede usar la página de Navegación segura de Google, que ofrece verificación del estado del recurso.
- Escanea el código y mira qué se propone abrir. Si es el navegador, detente y verifica la dirección.
- Comprueba el dominio. Errores ortográficos, caracteres extra, zonas extrañas y subdominios como bank-login.example suelen indicar falsificación.
- Evita acortadores de enlaces y redirecciones. En pagos casi nunca son necesarios.
- Si es «pago por QR», confírmalo en la aplicación del banco. La suma y el destinatario deben coincidir con lo que esperas.
- Si te piden datos de la tarjeta, un código de un solo uso, la contraseña o «confirmar el acceso» en un sitio tras escanear, cierra la página y busca una vía oficial de pago.
Qué hacer si ya escaneaste un QR sospechoso o ingresaste datos
Si solo abriste el enlace y no introdujiste nada, el riesgo suele ser menor, pero no nulo. Algunos sitios intentan que instales una aplicación o concedas permisos. En ese caso basta con cerrar la pestaña, eliminar lo descargado y revisar los permisos del navegador y las aplicaciones.
Si ingresaste usuario y contraseña del banco, del correo o de una mensajería, hay que actuar de inmediato. Cambia la contraseña en el sitio oficial o en la aplicación, cierra las sesiones activas y activa la autenticación de dos factores. Si se trata de datos bancarios, lo más importante es contactar rápidamente con el banco por el número oficial o por el chat en la aplicación y describir la situación.
Si confirmaste un pago, no esperes. Cuanto antes notifiques al banco, más posibilidades hay de detener la cadena de operaciones. Paralelamente revisa límites y bloqueos que se puedan activar en la aplicación. Minimiza la posibilidad de nuevos cargos y transferencias.
Como medida preventiva es útil activar los mecanismos de protección del navegador y del sistema operativo, mantener actualizados el sistema y las aplicaciones y no instalar «escáneres de QR» de orígenes dudosos. En muchos casos la cámara integrada es suficiente, y las aplicaciones adicionales solo amplían la superficie de ataque.
- Si dudas sobre un QR en la calle, no lo escanees. Busca el sitio o la aplicación oficial y realiza la operación desde allí.
- En el punto de venta pide que muestren la suma y el destinatario en la pantalla de la caja y compáralos con lo que aparece en el banco antes de confirmar.
- Si el QR llegó por correo o en un PDF, trátalo como un enlace en un mensaje y comprueba el dominio con el mismo rigor.
El código QR no es una herramienta «mala», solo oculta la visibilidad del enlace y acelera la acción. Por eso la habilidad principal contra el quishing es recuperar el control: primero comprobar, luego acceder y, por último, confirmar en la aplicación del banco. Con esa secuencia, a los estafadores casi no les queda espacio.
