Los códigos QR ya no son una rareza. Están en la mesa del bar, en el cartel del gimnasio y en anuncios por la calle. ¿Cuántas veces has sacado el móvil y has escaneado sin pensarlo demasiado?
Eso es justo lo que preocupa a Pablo Pascual, estudiante de ingeniería informática especializado en ciberseguridad y miembro de la asociación Aragón Privacidad. Su idea central es simple y bastante cotidiana, «un QR es una puerta de entrada a algo que no conocemos», y ese pequeño salto a lo desconocido es lo que explotan las estafas.
Qué es un QR y por qué se usa tanto
Pascual lo resume sin misterio, «al final, un QR lo que es es un código de barras bidimensional». En la práctica, es un dibujo que guarda información y que el móvil traduce en una acción, como abrir una web o guardar un contacto.
Esta tecnología se popularizó mucho tras la pandemia por pura comodidad. El sistema nació en Japón en los años noventa para la logística y se extendió a todo tipo de usos, según la historia oficial del código en Denso Wave en History of QR Code.
El riesgo no está en el cuadrado, sino en lo que oculta
El problema no suele ser el QR en sí, sino lo que te lleva a hacer después. Escanear puede abrir una página falsa que imita a tu banco o a un servicio de mensajería, y tú no lo ves hasta que ya estás dentro.
Por eso, Pascual insiste en que el punto débil muchas veces no es la tecnología, es el momento en el que dejamos de pensar. Un QR funciona como una puerta que se abre con un gesto, y no siempre miramos qué hay al otro lado.
Qué significa «quishing» y por qué engancha
El «quishing» mezcla QR y «phishing«, que es cuando alguien se hace pasar por una empresa para robar datos. No es magia, es ingeniería social, una forma de manipulación que se apoya en la prisa, el miedo o la rutina.
Europa ya lo trata como un riesgo en crecimiento. El informe IOCTA 2024 de Europol lo describe como una amenaza emergente dentro de las campañas de fraude online, junto a otros engaños por SMS y llamadas falsas.
En Estados Unidos, el sector sanitario también lo ha puesto por escrito. El documento HC3 de HHS sobre quishing explica que el gancho es el mismo, solo cambia el formato del enlace, que pasa de ser un texto a ser un dibujo.
Datos que explican el repunte
La expansión de los QR ha venido con un efecto secundario. Según un análisis de Keepnet Labs sobre quishing, en 2025 alrededor del 12% de los ataques de «phishing» ya incluían un QR.
Esa misma fuente afirma que los correos con QR subieron de unas 47.000 unidades en agosto a más de 249.000 en noviembre de 2025. También sostiene que gran parte de estos ataques apuntan a usuarios de móvil, donde es más fácil escanear sin revisar.
Trampas típicas en la calle y en tu bandeja de entrada
Hay dos escenarios que se repiten. Uno es el mensaje que parece oficial y te pide que escanees para «verificar» algo, recuperar una cuenta o evitar un cargo, y que te empuja a actuar rápido.
El otro es el QR físico manipulado. INCIBE avisa en su guía sobre códigos QR fraudulentos de pegatinas pegadas encima del QR real en carteles, tablones o comercios, algo que pasa desapercibido si vas con prisa.
El Banco de España también ha recogido ejemplos concretos en su entrada sobre QRishing, como multas falsas con QR que llevan a un pago fraudulento o engaños al pagar una cuenta. Lo común es que el QR parezca «normal» y el mensaje haga el resto.
Cinco hábitos para usar QR con más criterio
Pascual lo plantea como una cuestión de rutina. La primera regla es desconfiar cuando el mensaje te mete urgencia, sobre todo si te pide escanear para resolver un «problema» en el momento.
La segunda es mirar el entorno. Si es un QR físico, conviene comprobar si parece tapado, despegado o pegado encima de otro, y si la situación te cuadra, como un restaurante donde el menú lleva meses igual.
La tercera es revisar la dirección que te muestra el móvil antes de abrirla. Y, para trámites delicados, mejor entrar por la app oficial o escribir la dirección desde cero, además de mantener el sistema del móvil actualizado para recibir parches, como recuerda el propio experto, «la ciberseguridad no consiste en tener miedo ni vivir con ese miedo constante, sino en tener un poquito de criterio».
Si ya has escaneado uno sospechoso, qué hacer
Si el QR te ha llevado a una web rara, lo más prudente es salir y no introducir datos. Si ya has escrito contraseñas o datos bancarios, toca cambiar claves cuanto antes y contactar con la entidad por canales oficiales.
Las alertas públicas insisten en esa idea. La FTC recomienda no escanear QR inesperados en mensajes y fijarse en la URL antes de abrirla, y el FBI ha advertido incluso de paquetes no solicitados con QR que buscan que la víctima entregue información o instale software malicioso.
La guía oficial citada se ha publicado en INCIBE.
