QRishing: la estafa con códigos QR y cómo protegerte


Los códigos QR se volvieron parte de la vida cotidiana: menús, pagos, entradas y promociones. Pero esa comodidad también atrae a los estafadores. El QRishing (phishing por QR) consiste en colocar o enviar códigos QR maliciosos para robar datos, instalar malware o redirigirte a páginas fraudulentas. En este artículo te explico cómo funciona, cómo detectarlo y qué hacer si ya escaneaste uno.

¿Cómo funciona el QRishing?

Existen varias técnicas:

  • QR superpuesto: el atacante pega un QR falso sobre uno legítimo (por ejemplo en un menú o carteles de pago).
  • QR enviado por mensaje: te mandan un QR por WhatsApp, correo o redes que redirige a una web falsa.
  • QRLjacking: el atacante genera un QR para iniciar sesión (p. ej. WhatsApp Web) y engaña a la víctima para que lo escanee, concediendo acceso al atacante.
  • QR de pago fraudulento: reemplazan el código de pago real por uno que envía dinero al estafador.
  • QR que descarga malware: el enlace inicia la descarga de una APK o de un instalador malicioso.

Señales de alerta antes de escanear

  • El QR está pegado encima de otro QR o el soporte parece manipulado.
  • El código está en un lugar sospechoso o improvisado (adhesivos, post-its, folletos no oficiales).
  • El remitente del QR no es de confianza o el mensaje contiene errores ortográficos y urgencia.
  • El QR promete algo demasiado bueno para ser cierto (regalos, descuentos enormes, “ver quién vio tu perfil”, etc.).

Buenas prácticas antes de abrir un enlace desde un QR

  1. Previsualizá la URL (la cámara de muchos teléfonos muestra la dirección antes de abrirla). Fijate en el dominio: si es extraño o no coincide con la empresa oficial, no sigas.
  2. Usá lectores QR que muestren la URL y no abran automáticamente la página.
  3. No descargues APKs ni des permisos especiales a aplicaciones que provengan de un QR.
  4. En pagos, verificá que el destinatario sea el comercio correcto (nombre y CUIT/CUIL o identificador oficial si aplica).
  5. No inicies sesión en servicios importantes después de escanear un QR enviado por terceros sin verificar la fuente.

Qué hacer si ya escaneaste un QR sospechoso

Actuá rápido y así:

  1. No ingreses datos si te pidieron usuario/clave o datos bancarios. Salí de la página.
  2. Cerrá la pestaña y no descargues nada si la web solicita instalar una app.
  3. Si ingresaste credenciales: cambiá la contraseña inmediatamente y activá 2FA en esa cuenta.
  4. Si pagaste a un código fraudulento: contactá a tu banco o al proveedor de pago (MercadoPago, Bizum, etc.) y reportá la operación.
  5. Si notás actividad extraña en el teléfono: revisá apps instaladas recientemente y eliminá las sospechosas. Hacé un escaneo con una app de seguridad confiable.
  6. Revocá sesiones y tokens: cerrá sesiones activas en servicios importantes (correo, redes, mensajería).
  7. Denunciá: reportá el enlace a la plataforma (WhatsApp, Instagram) y, si corresponde, presentá una denuncia en la autoridad de consumos o policial local.

Consejos técnicos para minimizar riesgos

  • Usá el lector de QR nativo del teléfono que muestre la URL antes de abrir el enlace.
  • Desactivá la opción de “abrir enlaces automáticamente” en tu lector QR si existe.
  • En Android, evitá instalar APKs fuera de Google Play; en iPhone las apps oficiales limitan instalaciones externas.
  • Mantené el sistema operativo del móvil actualizado y activá la verificación en dos pasos en tus cuentas.
  • Si usás WhatsApp Web u otro servicio que permite logueo via QR, nunca escanees códigos que te envíen extraños: pueden ser QRLjacking.

Ejemplos reales y escenarios comunes

Algunos ejemplos frecuentes que podés encontrar en la calle o en mensajes:

  • Un sticker con QR pegado sobre el QR del menú de un bar que redirige a una encuesta que pide datos personales.
  • Un código en un cartel de estacionamiento que, en lugar de abrir la pasarela de pago oficial, te lleva a una copia fraudulenta.
  • Un mensaje masivo por WhatsApp con un QR que ofrece “entradas gratis” y solicita tu información de tarjeta.

Herramientas útiles

  • Lector QR que siempre muestre la URL antes de abrirla (buscá reseñas y elegí uno con buena reputación).
  • Antivirus móvil con protección web.
  • Apps oficiales de pago (MercadoPago, BBVA, etc.) que permiten escanear y confirmar destinatario manualmente.

Preguntas frecuentes sobre QRishing

¿Qué es el QRishing?

Es una forma de phishing que utiliza códigos QR falsos o manipulados para robar datos, instalar malware o redirigir a páginas fraudulentas.

¿Cómo puedo detectar un QR sospechoso?

Si está pegado encima de otro, en lugares improvisados, promete beneficios exagerados o proviene de remitentes desconocidos, es mejor no escanearlo.

¿Qué hacer si ya escaneé un QR fraudulento?

No ingreses datos, cerrá la pestaña, cambiá contraseñas si diste credenciales y contactá a tu banco si hubo pagos.

¿Es seguro usar QR para pagos?

Sí, siempre que verifiques el destinatario y uses apps oficiales de pago. Evitá códigos improvisados o enviados por desconocidos.

¿Qué es el QRLjacking?

Es una técnica en la que un atacante genera un QR de inicio de sesión (ej. WhatsApp Web) y engaña a la víctima para que lo escanee, obteniendo acceso a su cuenta.

Conclusión

El QRishing explota la confianza y la rapidez del escaneo para robar datos o provocar pagos no autorizados. La mejor defensa es la prevención: previsualizar la URL, desconfiar de QRs superpuestos o enviados por desconocidos, usar lectores que no abran automáticamente y activar 2FA. Si ya escaneaste uno y sospechás que algo anda mal, actuá rápido: cambie contraseñas, revoca sesiones y contactá a tu banco si hubo pagos.






Apoyá mi trabajo 🙌

Si te sirven mis alertas y guías,
podés invitarme un café ☕

Invitame un café

Comentarios

Publicar un comentario

💬 Comentá con respeto.
No publiques datos personales ni enlaces promocionales.
Los mensajes se moderan antes de publicarse.

Entradas populares de este blog

Guía completa sobre grooming

Imagen
Grooming: guía completa para padres y para que tu hijo la lea Qué vas a encontrar: definición clara, tipos de grooming, señales para detectar, pasos concretos para actuar como padre/madre o tutor, recomendaciones directas para que los menores comprendan y una lista de dónde denunciar por país. ¿Qué es el grooming? El grooming es el proceso mediante el cual un adulto se gana la confianza de una niña, niño o adolescente con el objetivo de abusar sexualmente, explotarlo o inducirlo a producir y compartir imágenes o videos de contenido sexual. Suele comenzar con un acercamiento en redes sociales, juegos, apps o chats, y termina construyendo una relación de manipulación y control. 0 Tipos y fases del grooming (explicado simple) Contacto inicial: el agresor crea un perfil falso o se hace pasar por alguien de la misma edad para iniciar la conversación. Construcción de confianza: demuestra interés, comparte supuestos sentim...
Leer más

Extensiones de Chrome robando accesos a ChatGPT en 2026

Imagen
Extensiones de Chrome abusando de enlaces de afiliados y robando accesos a ChatGPT – alerta 2026 Investigadores de seguridad alertaron en enero 2026 sobre campañas donde extensiones aparentemente inofensivas de Google Chrome insertaban enlaces de afiliados sin permiso, redirigían compras y, en casos más graves, robaban sesiones activas de servicios como ChatGPT (incluyendo chats completos y tokens de acceso). Estas extensiones se disfrazaban de bloqueadores de anuncios, conversores de archivos o utilidades de productividad con IA (sidebars para ChatGPT, Claude, etc.), pero ejecutaban código oculto para monetizar tráfico y espiar navegación. En campañas recientes acumularon más de 900.000 instalaciones antes de ser detectadas. Punto clave: no hace falta que una extensión sea un “virus clásico”. Con permisos amplios sobre las páginas web (“leer y cambiar todos los datos en los sitios que visitas”), puede observar y modificar todo lo que hacés en el navegador. Qué descu...
Leer más

Tabnabbing: Cómo roban tus claves secuestrando pestañas

Imagen
Tabnabbing: el ataque que secuestra una pestaña del navegador ¿Qué es el tabnabbing? Tabnabbing es un tipo de ataque web cuyo nombre en inglés puede traducirse como “secuestro de pestañas del navegador” . Significado: tab = pestaña  |  nabbing = robar o secuestrar. 👉 En la práctica: una página que abriste cambia cuando no la mirás y se convierte en una falsa. El objetivo es simple: que ingreses tu contraseña creyendo que estás volviendo a un sitio legítimo como Gmail, Facebook, Instagram o tu banco. Cómo funciona el ataque El escenario típico es este: Abrís una página desconocida en una pestaña nueva. La dejás en segundo plano. Minutos después, esa página cambia automáticamente. Cuando volvés, ves un supuesto “inicio de sesión”. Ingresás tu contraseña… y se la enviás al atacante. El truco está en que **la transformación ocurre cuando no estás mirando**. Por qué engaña tan bien La pestaña mantiene el...
Leer más