2check.click

5 min de lectura Actualizado: junio de 2026

Estafas con códigos QR (quishing): cómo funcionan y cómo evitarlas

El quishing — término que combina QR y phishing — es una forma de ataque que utiliza códigos QR para dirigir a las víctimas a páginas fraudulentas. A diferencia de un enlace de texto, el destino de un código QR es invisible a simple vista. Los atacantes lo saben y lo explotan de múltiples maneras.

Por qué los atacantes eligen códigos QR

Los filtros de seguridad del correo electrónico analizan URLs de texto en busca de señales de phishing. Un código QR es una imagen: los filtros no pueden leer el enlace que contiene. Esto convierte al QR en una vía de acceso especialmente eficaz para eludir las defensas automáticas. Además, los usuarios han aprendido a desconfiar de los enlaces pero todavía asocian los QR con la comodidad y la modernidad, lo que reduce su guardia.

Métodos de distribución más habituales

Pegatinas sobre códigos QR reales

Los estafadores imprimen su propio código QR en un adhesivo y lo pegan encima del código legítimo en un lugar público: parkímetros, mesas de restaurante, puntos de carga eléctrica, carteles de información. El código falso tiene exactamente el mismo aspecto visual que uno real.

Correos electrónicos con QR en lugar de enlace

En una campaña de phishing por correo, en vez de incluir un enlace clicable, el atacante adjunta o incrusta una imagen con el código QR. El usuario escanea el código con el móvil — un dispositivo que normalmente tiene menos protecciones activas que el ordenador de trabajo — y accede a la página fraudulenta.

Folletos y carteles impresos

Se distribuyen flyers con aspecto oficial en buzones, en la calle o en establecimientos. El flyer puede anunciar un sorteo, una subvención, una oferta de trabajo o una notificación de organismo público. El código QR conduce a un formulario que roba datos personales.

Notificaciones físicas falsas

Una carta en papel que imita el formato oficial de un organismo puede incluir un código QR. La víctima no sospecha porque el soporte es físico, no digital.

Ejemplos con contexto español

Multas falsas de la DGT

Se han detectado notificaciones que imitan el formato de la Dirección General de Tráfico, con logotipos y diseño convincentes. El código QR incluido lleva a una página que solicita el pago de la supuesta multa o los datos del vehículo. La DGT notifica las sanciones a través de la Dirección Electrónica Vial (DEV) o por correo certificado; nunca exige pago inmediato por un QR en un correo no solicitado.

Correos falso — aviso de paquete

Mensajes que imitan a Correos o a empresas de mensajería como SEUR o MRW informan de un paquete retenido y proporcionan un código QR para gestionar la entrega. El QR lleva a una página falsa que pide datos personales o un pequeño pago de "gastos de aduana".

Restaurante con QR trampa

En locales con carta digital, una pegatina colocada sobre el QR de la mesa puede llevar a una página que solicita datos de tarjeta para "reservar" o para acceder a la carta. Los restaurantes legítimos no requieren datos bancarios para mostrar su menú.

Por qué el QR elude los filtros de correo

Los sistemas antiphishing de los clientes de correo y las pasarelas de seguridad inspeccionan el texto de los mensajes en busca de URLs maliciosas. Un código QR es un archivo de imagen JPEG o PNG: no contiene texto analizable. El filtro ve solo una imagen adjunta y la deja pasar. Cuando el destinatario escanea el código con el móvil, sale del entorno controlado del correo corporativo y accede desde su teléfono personal, a menudo sin VPN ni protección adicional.

Cómo protegerse

  • Antes de escanear un QR en un lugar público, compruebe físicamente si hay una pegatina superpuesta.
  • Use la vista previa de URL de su cámara: no abra el enlace hasta haber leído el dominio de destino.
  • Copie la URL y analícela en 2check.click antes de abrirla.
  • Sea especialmente escéptico con cualquier QR recibido por correo electrónico, SMS o carta no solicitada.
  • Nunca introduzca datos bancarios en una página a la que llegó a través de un QR sin haber verificado el dominio.
  • Para pagar multas o gestionar trámites con organismos españoles, acceda siempre directamente a la sede electrónica oficial escribiendo la dirección en el navegador.

Compruebe un código QR o enlace sospechoso

Pegue la URL del QR o el enlace en 2check.click para ver el destino real, las redirecciones y las señales de phishing antes de abrirlo.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Puedo saber si un código QR es malicioso con solo mirarlo?

No. Los códigos QR maliciosos tienen exactamente el mismo aspecto que los legítimos. La única forma de conocer el destino es escanearlo y leer la URL, o usar una herramienta de análisis como 2check.click.

¿Cómo denuncio una estafa con QR en España?

Puede denunciarlo ante la Policía Nacional (a través de su web o en comisaría), ante la Guardia Civil si el fraude ocurrió en zona rural, y ante el INCIBE (Instituto Nacional de Ciberseguridad) mediante incibe.es/ciudadanos o el teléfono 017. Si recibió un correo o SMS fraudulento, reenvíelo a los organismos mencionados antes de eliminarlo.

¿Qué hago si ya escaneé un QR sospechoso y abrí la página?

Cierre el navegador inmediatamente. Si introdujo credenciales, cambie la contraseña desde un dispositivo diferente. Si facilitó datos bancarios, contacte con su banco de inmediato para bloquear posibles cargos. Siga los pasos de nuestra guía sobre qué hacer tras hacer clic en un enlace de phishing.

¿Las empresas legítimas usan QR en sus correos?

Ocasionalmente sí, pero es poco habitual en comunicaciones de organismos oficiales españoles. Si recibe un correo con un QR de su banco, de Correos o de la DGT, verifique el remitente y acceda al servicio directamente desde su navegador en lugar de usar el QR.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados