El quishing es una variante del phishing clásico — pero usa QR Codes en lugar de enlaces falsos en el correo electrónico. El estafador imprime o pega un QR Code malicioso sobre el original y espera a que lo escanees sin pensar. La víctima es redirigida a una página falsa de pago, inicio de sesión o instalación de app.
¿Por qué ha crecido tanto? Porque el QR Code se convirtió en hábito: menú de restaurante, estacionamiento, recibo bancario, parada de autobús. Ese hábito fue el terreno fértil que los estafadores necesitaban. Según informes de 2024 y 2025, los ataques de quishing aumentaron más de un 300 % en dos años — y la mayoría de las personas todavía no sabe que esta estafa existe.
🔍 Cómo funciona la estafa
El quishing tiene tres pasos simples:
- Sustitución del QR Code. El delincuente imprime un adhesivo con el QR falso y lo pega sobre el original — en el parquímetro, en el menú de papel, en el recibo impreso o incluso en carteles de campaña.
- Redirección invisible. Escaneas, el teléfono abre una URL. La página parece idéntica al banco, al estacionamiento o al servicio original.
- Robo de datos o de dinero. Ingresas tu número de documento, contraseña o realizas un pago creyendo que estás pagando el servicio correcto. El dinero va a la cuenta del estafador.
Dónde ocurren más ataques
- Parquímetros y plazas de estacionamiento
- Mesas de restaurante (QR del menú/pago)
- Recibos físicos con QR impreso por terceros
- Puntos de recarga de vehículos eléctricos
- Carteles de "descarga nuestra app" en locales físicos
El cruel detalle: el teléfono muestra una URL muy pequeña y mucha gente ni siquiera la lee antes de hacer clic en "Continuar".
🛡️ Cómo protegerse
Sigue estas prácticas antes de escanear cualquier QR Code:
Revisa la URL antes de actuar
Después de escanear, lee la dirección completa antes de abrirla. Dominios como banco-seguro.app o pago-pix.link no son sitios oficiales. Verifica siempre que el dominio coincida con la dirección oficial conocida de la empresa.
Desconfía de pagos por QR Code de origen dudoso
- Nunca pagues mediante un QR Code impreso en papel suelto recibido por WhatsApp o correo.
- Si el QR vino de un estacionamiento, verifica que el adhesivo esté íntegro — sin burbujas, raspaduras o superposición.
- Prefiere generar tu propio QR de pago desde la app de tu banco.
No descargues apps por QR Code desconocido
Los carteles con "Descarga nuestra app, escanea aquí" son vectores de ataque perfectos. Prefiere buscar la app directamente en Google Play o App Store escribiendo el nombre de la empresa.
Comprueba físicamente el adhesivo
En parquímetros y mesas de restaurante, intenta levantar la esquina del adhesivo. Un QR Code legítimo generalmente está impreso directamente en el equipo o en un soporte oficial. Adhesivo sobre adhesivo es señal de alerta.
Usa la previsualización del enlace
La mayoría de las apps de cámara de Android e iOS muestran la URL antes de abrirla. Nunca te saltes esa pantalla — es tu primera línea de defensa.
Lee también: ¿El QR Code es seguro? Lo que necesitas saber para entender los riesgos generales del uso de QR Codes en el día a día.
🏢 Para empresas
Si usas QR Codes en tus puntos físicos, la responsabilidad de proteger al cliente también es tuya.
Usa QR Codes dinámicos
Los QR Codes dinámicos te permiten cambiar el destino sin reimprimir el código. Esto significa que si alguien pega un QR falso sobre el tuyo, puedes desactivar o redirigir el original de inmediato — y rastrear el acceso.
Con el generador de QR Code dinámico de Code2Scan controlas la URL de destino, monitoreas escaneos por fecha, hora y ubicación, y detectas picos anormales de acceso que pueden indicar que tu QR fue clonado.
Monitorea los escaneos
Un QR Code legítimo de restaurante tiene un patrón de uso: almuerzo y cena, días hábiles y fines de semana. Si notas escaneos a las 3 de la mañana o desde ciudades distintas, algo está mal. Usa el panel de analytics para detectar anomalías.
Mira cómo configurar la redirección condicional para bloquear accesos fuera del horario de funcionamiento.
Protege con contraseña cuando sea necesario
Para QR Codes de acceso restringido — documentos internos, formularios de RR. HH., enlaces de intranet — usa QR Code protegido por contraseña. Así, aunque alguien lo escanee, no accede al contenido sin la credencial.
Usa material original y sellado
- Imprime QR Codes en papel resistente o laminado.
- Usa soportes con borde fijo o tornillos — más difícil de superponer.
- Revisa físicamente los QR Codes de tus puntos de venta cada semana.
- Considera incluir el logotipo de tu empresa en el centro del QR — cualquier sustitución será visualmente perceptible.
❌ Errores comunes que facilitan la estafa
- Escanear sin leer la URL — el error más frecuente. La previsualización existe, úsala.
- Confiar en el aspecto de la página — las páginas falsas son copias casi perfectas.
- Creer que "aquí no pasa eso" — los ataques de quishing crecen a nivel mundial.
- No actualizar la app de cámara — las versiones antiguas pueden abrir la URL directamente, sin previsualización.
- Compartir fotos de QR Code por WhatsApp — el destinatario no sabe de dónde vino el original.
- Empresas que no monitorean sus propios QRs — sin analytics, no sabes si tu código fue comprometido.
Evita también los errores comunes en el uso de QR Code que comprometen la experiencia y la seguridad de tus clientes.
📋 Resumen
- Quishing = phishing a través de un QR Code falso pegado sobre el original.
- La estafa ocurre en parquímetros, restaurantes, recibos y carteles.
- Antes de actuar, lee la URL completa que muestra tu teléfono.
- Nunca pagues mediante QR Code de origen desconocido.
- No descargues apps por QR Code — usa la tienda oficial.
- Verifica físicamente si hay adhesivos superpuestos.
- Las empresas deben usar QR dinámico con monitoreo para detectar ataques.
- Protege contenidos sensibles con QR Code protegido por contraseña.
Crea QR Codes dinámicos que controlas — monitorea escaneos en tiempo real, cambia destinos sin reimprimir y protege a tus clientes contra el quishing con Code2Scan.
O, si necesitas un QR simple y rápido, usa nuestro generador de QR Code gratuito.