Recibes una carta con el logotipo de tu banco. El texto dice que debes confirmar tus datos para evitar el bloqueo de tu cuenta. Al final, un código QR. Parece oficial. Escaneas el código. Llegas a una web que se parece a la de tu banco. Introduces tu usuario y contraseña. Acabas de entregar tus credenciales a un ciberdelincuente.
Esto es el quishing: phishing a través de códigos QR. Y crece sin parar. Los ataques con códigos QR maliciosos aumentaron más de un 400% entre 2023 y 2025, según datos de múltiples firmas de ciberseguridad como Kaspersky y Trend Micro.
No se necesita mucha experiencia técnica para caer. Solo hace falta lo que la mayoría de nosotros hacemos a diario: escanear un QR sin pensarlo.
Qué es el quishing (y qué lo diferencia del phishing normal)
El quishing es la combinación de «QR code» y «phishing». El objetivo es el mismo que el del phishing tradicional: llevarte a una página falsa para robarte las credenciales, los datos bancarios o instalar malware en tu dispositivo.
La diferencia está en el anzuelo: en el phishing clásico, el enlace malicioso aparece como texto en un correo electrónico. En el quishing, ese enlace se oculta dentro de un código QR.
¿Por qué eso cambia las cosas?
Porque los filtros de seguridad del correo electrónico están entrenados para detectar URLs sospechosas en texto. Un enlace a paypal-secure-verificacion.xyz levanta alarmas automáticas. Pero un código QR es solo una imagen de cuadraditos negros. Los filtros antispam no pueden leerlo. El QR pasa sin ser examinado.
Cuando el usuario escanea el QR con el móvil, el enlace malicioso aparece. Y en ese momento, el filtro de seguridad ya no tiene oportunidad de intervenir.
Dónde aparecen los códigos QR falsos
El quishing no se limita al correo electrónico. Los atacantes colocan QR maliciosos en múltiples lugares donde la gente los escanea sin dudar.
| Dónde puede aparecer | Ejemplo de engaño |
|---|---|
| Correo electrónico | «Confirma tu identidad en tu banco», «Activa tu cuenta», «Reclama tu premio» |
| Cartas físicas impresas | Carta aparentemente oficial de banco, Hacienda o empresa de paquetería |
| Carteles en espacios públicos | QR falso pegado sobre el legítimo en bares, aparcamientos, estaciones |
| Multas de tráfico falsas | Carta física que imita una multa con QR para «pagar o recurrir» |
| Menús y carteles en negocios | QR pegado encima del original del negocio |
| Facturas o documentos de empresa | QR en documentos de apariencia corporativa |
La novedad más preocupante en 2026 es el uso de cartas físicas personalizadas: los atacantes combinan datos robados en brechas de seguridad (nombre, dirección, banco, operador de telefonía) con impresión en papel de calidad para crear cartas que parecen absolutamente reales. El lector no tiene motivos para dudar.
Cómo funciona el engaño paso a paso
- El atacante crea una página web que imita la de un banco, empresa de mensajería, administración pública u otra entidad de confianza.
- Genera un código QR que apunta a esa web falsa.
- Inserta el QR en un correo, una carta o un cartel que parece legítimo.
- La víctima escanea el QR, llega a la web falsa y la percibe como real.
- La víctima introduce sus credenciales, datos bancarios o información personal.
- El atacante obtiene esos datos en tiempo real.
En algunas variantes más avanzadas, el QR descarga directamente malware en el dispositivo al abrirse, sin que la víctima tenga que introducir ningún dato.
Por qué los QR son especialmente peligrosos
Hay tres razones por las que el quishing funciona especialmente bien:
1. Los QR son opacos hasta que se escanean. No puedes leer un QR visualmente. No sabes a dónde apunta hasta que lo abres. Con un enlace de texto puedes leer la URL antes de hacer clic. Con un QR, no.
2. La pandemia normalizó su uso. Durante años usamos QR para ver menús, acceder a sitios, descargar apps y pagar. Aprendimos a escanearlos sin cuestionarlos.
3. El móvil es el eslabón más débil. Cuando escaneas un QR, lo haces con el móvil. Los móviles tienen menos protección anti-phishing activa que los ordenadores. Las URLs en pantallas pequeñas son más difíciles de leer y verificar.
El protocolo de 5 pasos para no caer en la trampa
Protegerse del quishing no requiere conocimientos técnicos. Solo requiere un hábito: pausar antes de escanear y verificar antes de abrir.
Paso 1: ¿Esperas este QR?
Antes de escanear, pregúntate: ¿he pedido esto? ¿Tiene sentido que me llegue un QR en este contexto?
Si recibes un correo o una carta con un QR de forma inesperada —especialmente si pide datos urgentes, pagos o verificación de cuenta— trata ese QR con la misma desconfianza que tratarías a un enlace sospechoso.
Paso 2: Mira la URL antes de abrirla
Cuando escaneas un QR, tu móvil te muestra la URL a la que apunta antes de abrirla. No la ignores.
Comprueba:
– ¿El dominio es el real? (ejemplo: bancosantander.es en lugar de bancosantander-verificacion.xyz)
– ¿Usa HTTPS? (un candado en la barra de dirección es necesario, pero no suficiente)
– ¿El dominio parece extraño, largo o lleno de guiones?
Si algo te parece raro, no abras. Cierra y accede directamente a la web oficial escribiendo la URL tú mismo.
Paso 3: Desconfía de la urgencia
Los ataques de phishing y quishing se construyen sobre presión: «Actúa ahora o se bloqueará tu cuenta», «Tienes 24 horas para responder», «Tu paquete no se puede entregar».
Esa urgencia es una señal de alerta, no una razón para actuar rápido.
Paso 4: Nunca introduzcas credenciales en una web a la que llegaste por un QR inesperado
Si tienes alguna duda, no introduzcas usuario, contraseña, número de tarjeta ni ningún dato personal. Cierra la web y accede directamente a la entidad oficial.
Tu banco, Correos, Hacienda o cualquier empresa legítima nunca te bloqueará la cuenta por tomarte unos minutos en verificar antes de actuar.
Paso 5: Activa la autenticación multifactor en tus cuentas
La autenticación multifactor (MFA) añade una segunda capa de seguridad: aunque un atacante obtenga tu contraseña, necesitará también el segundo factor (un código de SMS, una app de autenticación, una llave de seguridad) para acceder.
Es la medida de protección más efectiva que puedes aplicar hoy. Actívala en tu banco, tu correo electrónico, tus redes sociales y cualquier servicio importante. Si quieres ir más allá, las passkeys son la evolución natural de las contraseñas — más seguras y sin las vulnerabilidades del MFA por SMS. [Puedes leer qué son las passkeys y por qué importan en PragmaWire.]
Errores comunes
Pensar que los QR de sitios conocidos son siempre seguros
Un QR en un restaurante habitual, en una estación de tren o en una carta oficial puede haber sido sustituido por un QR falso. El código QR en sí no garantiza legitimidad; la URL a la que apunta, sí.
Abrir el QR sin revisar la URL
La mayoría de las personas escanea y abre directamente. Un segundo de revisión puede ser suficiente para detectar un dominio sospechoso.
Creer que el móvil está más protegido que el ordenador
Los móviles tienen menos herramientas antiphishing activas. No confíes en que el dispositivo detectará el problema por ti.
No tener MFA en cuentas importantes
Si alguien obtiene tu contraseña por quishing y no tienes MFA, el acceso a tu cuenta es inmediato. Con MFA, todavía tienen que superar un segundo obstáculo.
Qué hacer si crees que has caído en un ataque de quishing
Si has introducido credenciales en una web que sospechas era falsa:
- Cambia inmediatamente la contraseña de la cuenta afectada.
- Si has dado datos bancarios, llama a tu banco para bloquear posibles movimientos.
- Activa MFA en todas tus cuentas si aún no lo tienes.
- Denuncia el incidente en INCIBE o a través del portal de la Policía Nacional.
- Revisa tus cuentas bancarias y de correo durante los días siguientes.
Conclusión
El quishing es una amenaza real, en crecimiento y diseñada para aprovecharse de un hábito completamente normal: escanear códigos QR. No hace falta ninguna habilidad técnica para ser víctima. Pero tampoco hace falta ninguna habilidad técnica para protegerse.
La clave es el hábito: pausa antes de escanear, verifica la URL antes de abrir, desconfía de la urgencia y nunca introduzcas datos sensibles en una web a la que llegaste por un QR que no esperabas.
Un segundo de atención puede evitar semanas de problemas.
Preguntas frecuentes
¿Qué es el quishing?
El quishing es un tipo de phishing que usa códigos QR en lugar de enlaces de texto para llevar a la víctima a una web fraudulenta. El objetivo es robar credenciales, datos bancarios o instalar malware. Los filtros de seguridad del correo no pueden analizar el contenido de un QR, lo que hace que estos ataques sean más difíciles de detectar automáticamente.
¿Es peligroso escanear QRs en restaurantes o espacios públicos?
Los QRs de negocios legítimos son seguros en su mayoría. El riesgo está en que alguien haya pegado un QR falso encima del original. Una buena práctica es confirmar con el establecimiento si el QR parece inusual, y siempre revisar la URL antes de abrir.
¿Cómo sé si un código QR es falso antes de abrirlo?
No puedes saberlo solo mirando el QR. Lo que puedes hacer es revisar la URL que aparece en tu móvil tras escanearlo y antes de abrirla. Si el dominio no corresponde a la entidad que esperabas, o si parece extraño, no lo abras.
¿Qué diferencia hay entre quishing, phishing y smishing?
Los tres son variantes del mismo tipo de ataque: engañar al usuario para que revele información sensible o acceda a una web fraudulenta. El phishing llega por correo electrónico con enlaces en texto. El smishing llega por SMS. El quishing llega mediante códigos QR.
¿Qué hago si creo que he sido víctima de quishing?
Cambia inmediatamente las contraseñas de las cuentas afectadas, llama a tu banco si has dado datos financieros, activa MFA y denuncia el incidente ante INCIBE o la Policía Nacional. Cuanto antes actúes, mejor.
¿Qué opinas?
0 comentarios