QRshing: cómo protegerte de estafas a través de códigos QR

Jerónimo Corregido – Estafa.info – Editor jefe de la sección de noticias Escrito por: Jerónimo Corregido
Publicado el: 19.05.2026

El QRshing es una estafa que usa códigos QR maliciosos para dirigir a víctimas a sitios falsos, robar datos o instalar malware al escanearlos con el teléfono. Las medidas de prevención implican activar la función de no abrir directamente la web ligada al QR, con el fin de saber a dónde redirige.

Escaneo de código QR sospechoso con alerta de seguridad en una pantalla móvil.

El QRshing se suma al catálogo de estafas digitales a las que hay que atender.

QRshing: la estafa potencial de cada código QR

El QRshing es una modalidad de fraude digital que utiliza códigos QR manipulados para engañar a los usuarios. Estos códigos redirigen a sitios falsos que imitan servicios legítimos para capturar credenciales o datos financieros sensibles. Su crecimiento obliga a entender cómo operan estas campañas.

Los atacantes explotan la confianza en códigos QR físicos y digitales para insertar enlaces maliciosos difíciles de verificar visualmente. Al escanearlos, el usuario accede automáticamente a páginas fraudulentas sin filtros tradicionales de seguridad.

En ese sentido, es una estafa similar al phishing, solo que en este caso se caracteriza por el uso de códigos QR. Por su parte, el phishing es el concepto paraguas para un amplio abanico de fraudes, sobre todo aquellos que suplantan la identidad de una entidad oficial mediante correo electrónico con el fin de robar datos personales.

El QRshing se apoya en técnicas como redirecciones encadenadas, ofuscación de URLs y uso de dominios descartables para evadir detección automatizada. Los códigos pueden incorporar parámetros dinámicos que personalizan el ataque o integrarse en campañas coordinadas con phishing y smishing. Este enfoque híbrido incrementa su eficacia y complejidad operativa.

Qué tipo de fraudes implica el QRshing

La principal intención de los delincuentes que implementan QRshing es reemplazar la apariencia de una página verdadera. Entonces, si la víctima escanea el código QR, pensará que está en el sitio al que deseaba ir. En vez de eso, estará dejando sus datos y hasta pagando en una plataforma falsa.

Otra estafa común que se relaciona con el QRshing es la descarga forzada de archivos maliciosos. Esto quiere decir que el dispositivo queda infectado con un malware. Los atacantes pueden usar esto para ejecutar procesos en secundario, sin que el usuario se dé cuenta.

Por ejemplo, pueden realizar suscripciones pagas, acceder a la cámara y el micrófono, e incluso desbloquear funciones de seguridad, como pueden ser los datos de cuenta bancaria. Al tratarse de procesos que se desarrollan en segundo plano, la víctima ni siquiera percibe la irregularidad mientras está usando el dispositivo.

Una posibilidad más es la del QRjacking, o el secuestro de credenciales para iniciar sesión. Según lo describe el Instituto Nacional de Ciberseguridad (INCIBE), se trata de un engaño para que la víctima inicie su sesión desde alguna plataforma mediante un código QR. El caso más habitual es WhatsApp Web, que se vincula desde el ordenador mediante un código de este tipo.

Cómo protegerse del QRshing

La medida de seguridad más efectiva es mantener el sentido común antes de escanear cualquier cosa. ¿Proviene de una fuente oficial? ¿Es un vínculo directo para pagar en una tienda desconocida? ¿Forma parte de una publicidad? A continuación, algunos parámetros para tener en cuenta:

  • Bloquear la apertura automática de QR: cada dispositivo tiene una función, en sus “Ajustes”, que permite deshabilitar la apertura automática. Así, se permite ver la URL de la página antes de que se abra.
  • Comprobar la fuente: antes de abrir el código, hay que preguntarse dónde se lo ha encontrado. Si es una página web oficial, no hay riesgos de que sea una estafa.
  • Instalar antivirus: al tener un antivirus en el dispositivo, se reciben notificaciones ante posibles amenazas, incluso cuando surgen a través de códigos QR.
  • No compartir QR de inicio de sesión: esa información es únicamente para el usuario que la solicita, y representa un acceso directo, sin filtros, a su cuenta.
  • Mantener el sistema operativo actualizado: las versiones obsoletas de los sistemas operativos tienen mayor riesgo de estafas.
  • Desconfiar de urgencias: los mensajes del tipo “Escanea ahora o perderás tu cuenta” suelen ser falsos, producto de ingeniería social, y tienen la intención de alarmar a los usuarios para confundirlos.
Jerónimo Corregido – Estafa.info – Editor jefe de la sección de noticias
Internet es como la calle. ¿Escanearías un QR sin saber de qué fuente proviene o a qué sitio te redirige?
Escrito por: Jerónimo Corregido
LAS NOTICIAS MÁS RECIENTES
Página principal Noticias Sociedad QRshing: cómo protegerte de estafas a través de códigos QR

Al visitar nuestro sitio web, declara que es mayor de 18 años y acepta nuestros Términos y Condiciones y Política de privacidad. También acepta nuestro uso de cookies. Nuestro sitio web contiene publicidad.

¡Entendido!