Quishing: el fraude del QR en crecimiento (ya está en tu parking) — Miquel Puig
Es una escena cada vez más habitual. Llegas a un parking con prisa, escaneas el código QR del parquímetro y pagas desde el móvil. Todo normal. Sin saberlo, acabas de entregar tus datos bancarios a un estafador.
Esto ya está pasando en tu ciudad.
Quishing: el phishing que no ves venir
El quishing — phishing mediante códigos QR — se ha convertido en una de las amenazas de ciberseguridad que más crece en el mundo. Según el informe de Keepnet Labs, los incidentes de quishing a nivel global crecieron un 587% solo en 2023 —el año en que el fenómeno explotó—, con picos mensuales que superaron el 427% ese mismo año. Desde entonces, la tendencia no ha hecho más que acelerar.
¿Por qué funciona tan bien? Porque los códigos QR se han convertido en algo cotidiano. Los usamos para ver la carta del restaurante, pagar el parking, acceder a wifi... y nuestro cerebro ya no cuestiona lo que hay detrás.
Las cifras que deberían preocuparte
El panorama es preocupante:
- 12% de todos los ataques de phishing en 2025 contenían un código QR (Keepnet Labs)
- Se identificaron más de 4,2 millones de amenazas de phishing por QR solo en el primer trimestre de 2025
- Los emails con QR maliciosos pasaron de 47.000 en agosto a 249.000 en noviembre de 2025
- El 68% de estos ataques se dirigen específicamente a dispositivos móviles
- Los directivos de alto nivel tienen 40 veces más probabilidades de ser víctimas
Un dato que ilustra la magnitud del problema: solo el 36% de los incidentes son detectados correctamente por las víctimas. El resto no llega a identificar el ataque.
En España ya es una realidad
No hace falta mirar a Estados Unidos. Según la Policía Nacional, las denuncias por QRishing en España aumentaron un 300% en 2025. El INCIBE registró un repunte del 35% en denuncias relacionadas con QR maliciosos, sobre todo en pagos de aparcamiento.
Los casos detectados son variados:
- 🅿️ Barcelona: QR falsos pegados sobre parquímetros que imitaban el sistema de pago municipal
- 🏙️ Madrid: adhesivos fraudulentos en máquinas de estacionamiento
- 🍽️ Valencia: QR superpuestos en mesas de restaurantes con ofertas falsas
- 🛴 Patinetes eléctricos: pegatinas con QR que redirigen a apps maliciosas en lugar de las oficiales
- 📬 Cartas postales: suplantando a Hacienda o la Seguridad Social con QR que llevan a webs clonadas
El método más extendido es simple: pegar un adhesivo encima del QR legítimo. Cuando lo escaneas, te lleva a una web que es idéntica a la original... pero que captura tus datos bancarios.
¿Por qué los filtros de seguridad no lo paran?
La razón técnica es la siguiente. Los sistemas de seguridad de email tradicionales (los llamados SEG) están entrenados para detectar URLs sospechosas en texto. Pero un QR es una imagen. No hay URL visible que analizar.
Según Acronis, los atacantes están evolucionando hacia QR divididos y anidados — códigos que se fragmentan en varias imágenes o se incrustan dentro de PDFs — haciendo que la detección sea aún más difícil.
Además, cuando escaneas un QR con el móvil, sales del entorno corporativo protegido. Tu portátil puede tener antivirus, firewall, filtros de email... pero tu móvil personal probablemente no tiene nada de eso.
El coste real para las empresas
No es solo un problema de consumidores. Según Keepnet Labs, la pérdida media por incidente de quishing en empresas supera el millón de dólares. En un caso documentado en 2025, pegatinas falsas colocadas en 200 puntos de venta de una cadena retail generaron 2,3 millones de dólares solo en costes de control de daños.
Para una pyme como las nuestras, un solo ataque exitoso puede significar:
- Robo de credenciales de acceso a sistemas internos
- Cargos fraudulentos en cuentas bancarias de la empresa
- Pérdida de datos de clientes (con las implicaciones RGPD que eso conlleva)
- Daño reputacional difícil de reparar
Cómo protegerte (y proteger tu negocio)
La buena noticia es que protegerte no requiere un máster en ciberseguridad:
- Antes de escanear, mira. Si el QR es una pegatina pegada encima de otra, desconfía. Los QR originales suelen estar impresos directamente en el soporte.
- Comprueba la URL. Cuando tu móvil te muestre la dirección web tras escanear, léela antes de pulsar. ¿Es
parking-bcn.es o park1ng-bcn.xyz? Esa diferencia importa.
- No descargues apps desde QR. Siempre ve directamente a la App Store o Google Play.
- Usa la cámara nativa. No instales apps de lectura de QR de terceros — algunas son malware disfrazado.
- Si tienes negocio con QR públicos, revísalos periódicamente. Alguien puede haber pegado un adhesivo encima sin que te des cuenta.
- Conciencia a tu equipo. El 89% de los ataques de quishing buscan robar credenciales de acceso. Un empleado que escanea un QR falso puede abrir la puerta a toda tu empresa.
Reflexión final
Hemos pasado de "no hagas clic en enlaces sospechosos" a "no escanees códigos QR sospechosos". El problema es que un QR sospechoso es indistinguible de uno legítimo a simple vista.
La digitalización nos ha dado comodidad, pero también ha creado nuevos vectores de ataque que explotan precisamente esa comodidad.
La próxima vez que vayas a pagar el parking con un QR, tómate dos segundos extra para mirar si es una pegatina encima de otra. Esos dos segundos pueden ahorrarte un disgusto importante.
¿Te ha pasado o conoces a alguien que haya sido víctima de quishing? Me encantaría leer tu experiencia en los comentarios.
Foto de portada: Markus Winkler / Unsplash