La nueva estafa de códigos QR impulsada por IA — y cómo evitarla

Seguridad y estafas Guide7 min de lectura·Actualizado el 11 de julio de 2026
La respuesta corta

El quishing es phishing mediante código QR — escanear un código falso te lleva a un sitio que roba tus credenciales o datos de pago. La IA ha hecho estas estafas mucho más fáciles de crear y más difíciles de detectar. Los hábitos más seguros son: leer la vista previa de la URL antes de pulsar, nunca ingresar datos de pago o acceso después de escanear un código QR en un lugar público, y escribir las direcciones manualmente cuando tengas dudas.

Probablemente has escaneado docenas de códigos QR en el último año — para ver un menú de restaurante, pagar el estacionamiento o registrarte en algún lugar. Ese pequeño cuadrado es ahora una de las herramientas favoritas de los estafadores, y la IA les ha facilitado dramáticamente la creación de códigos falsos convincentes. El truco se llama quishing, y se está expandiendo tan rápido que tanto el FBI como la FTC han emitido advertencias al respecto.

¿Qué es el quishing?

La palabra combina "QR" y "phishing" — la categoría más amplia de estafas que suplantan a una organización de confianza para robar tus credenciales o datos de pago.

Así funciona: un estafador crea un código QR que, al escanearlo, te lleva a un sitio web falso que parece exactamente tu banco, el portal de pago de estacionamiento de tu ciudad o la página de seguimiento de una empresa de mensajería. La página te pide que inicies sesión, confirmes un pago o verifiques tu identidad. Si lo haces, tus credenciales o número de tarjeta van directamente al estafador.

La razón por la que los códigos QR son especialmente efectivos para los estafadores: los filtros de seguridad de correo electrónico y SMS están diseñados para escanear enlaces de texto sospechosos — no para leer imágenes. Un código QR falso incrustado en un PDF o un archivo adjunto de imagen pasa desapercibido por la mayoría de los filtros.

Dónde aparecen los códigos QR falsos

Los códigos falsos aparecen en lugares muy cotidianos:

Parquímetros. Se coloca una pegatina con un código QR falso sobre el código de pago legítimo. Lo escaneas, ingresas tu tarjeta de crédito en una convincente página de "pago de estacionamiento" falsa — y el parquímetro nunca registra tu pago.

Menús de restaurantes. La mayoría de los menús QR son seguros, pero se ha pillado a estafadores colocando pegatinas sobre los códigos originales. La versión falsa te redirige a una página que puede pedir tu tarjeta de crédito "para reservar tu lugar" u ofrecer un registro con descuento.

Mensajes de texto sobre entrega de paquetes. Recibes un mensaje diciendo que tu entrega está retrasada y pidiéndote que escanees un código o sigas un enlace para reprogramar. La URL lleva a una página falsa que pide tu dirección y datos de pago.

Folletos y carteles. Códigos falsos han aparecido en folletos comunitarios — una "tarjeta de regalo gratis" u "oferta exclusiva" — colocados en lavanderías, bibliotecas y vestíbulos de edificios de apartamentos.

Correos electrónicos y adjuntos PDF. Un mensaje de un supuesto banco, empresa de servicios o empresa de entrega contiene un código QR pidiéndote que "verifiques tu cuenta." Esta es la variante digital más común, y la que más fácilmente pasa el software de seguridad del correo electrónico.

Por qué la IA ha empeorado las cosas

Antes de que las herramientas de escritura con IA fueran ampliamente disponibles, un correo electrónico fraudulento era a menudo fácil de detectar: redacción torpe, errores gramaticales, una solicitud extraña que no sonaba como lo que diría un banco real. Ya no es un indicador fiable.

Según un informe de julio de 2026, los ataques de phishing impulsados por IA aumentaron catorce veces en un solo mes, y el phishing generado por IA ahora representa aproximadamente el 40% de todos los ataques de phishing. Los estafadores están usando IA para escribir correos perfectamente profesionales, generar páginas de inicio de sesión falsas de aspecto realista y crear códigos QR a escala — cientos de versiones ligeramente diferentes dirigidas a diferentes personas o regiones.

La combinación es especialmente efectiva: el correo parece venir de una empresa real, el código QR elude los filtros basados en texto, y el sitio web falso parece idéntico al real. El único momento en que puedes detectarlo es cuando verificas la URL a la que realmente apunta el código.

Cómo verificar un código QR antes de pulsar

No tienes que dejar de usar los códigos QR por completo. Solo necesitas un rápido hábito: leer la vista previa de la URL antes de pulsar.

En iPhone: Cuando apuntas tu cámara a un código QR, aparece una pequeña notificación en la parte superior de la pantalla con la URL de destino. No pulses esa notificación de inmediato — lee primero la dirección.

En Android: La mayoría de las aplicaciones de cámara Android muestran una pequeña barra de URL debajo del marco del código QR. Léela antes de pulsar.

Qué buscar en la URL:

  • ¿El dominio coincide con la organización que esperarías? Una app de estacionamiento municipal podría ser "nombreciudad.es" o "parkXYZ.es" — no debería ser "parking-secure-pay.net" con un dominio aleatorio que no reconoces.
  • ¿Hay una larga cadena de caracteres aleatorios en la URL? Los códigos QR legítimos para un menú o página de pago normalmente tienen direcciones cortas y limpias.
  • ¿El dominio usa errores ortográficos sutiles — "rnibaonco.es" en lugar de "miobanco.es"? Esa letra adicional es fácil de pasar por alto a primera vista.

Hábitos seguros para el futuro

Escribe las direcciones manualmente cuando tengas dudas. Si un código QR en un correo te pide "verificar tu cuenta" con tu banco, no lo escanees — abre la app de tu banco o escribe la dirección que conoces en tu navegador. La FTC recomienda específicamente esto como principal consejo para la seguridad de los códigos QR.

Nunca ingreses datos de pago o acceso después de escanear un código público. Si un parquímetro, un cartel o cualquier código QR público te pide tu tarjeta de crédito o contraseña, detente. Las apps de estacionamiento legítimas y los sistemas de pago públicos te permiten pagar a través de una app establecida que ya tienes, o aceptan tu tarjeta directamente en el parquímetro. No necesitan que ingreses tu número completo de tarjeta en un sitio web al que llegaste mediante una pegatina QR.

Comprueba si hay pegatinas. Antes de escanear un código QR en una superficie física — un parquímetro, una tarjetita de mesa, un cartel — fíjate si el código está impreso directamente o si hay un borde de pegatina encima. Una pegatina colocada sobre un código legítimo es la forma física más común de esta estafa.

Sé especialmente escéptico con los códigos QR en correos electrónicos. Los bancos reales, las empresas de servicios y los servicios de entrega rara vez necesitan que escanees un código QR. Tienen apps y sitios web a los que puedes acceder directamente. Un correo inesperado con un código QR es una señal de alarma, incluso si la imagen corporativa parece correcta.

A qué prestar atención

Estos hábitos detectarán la mayoría de los intentos de quishing, pero ninguna verificación es infalible. Los estafadores siguen perfeccionando su técnica, y las páginas falsas que crean son a veces visualmente indistinguibles de las reales. Si has ingresado información después de escanear un código y luego te sentiste inseguro, actúa rápido: cambia tu contraseña, llama a tu banco y reporta el incidente en reportfraud.ftc.gov. Cuanto antes actúes, mejores serán tus posibilidades de limitar cualquier daño.

Algo que esta guía no cubre: las llamadas telefónicas de seguimiento impulsadas por IA que a veces acompañan a las estafas QR. Un estafador puede llamar poco después de que hayas escaneado un código, alegando "verificar tu pago" y pidiendo los datos de tarjeta que no ingresaste en el sitio falso. Si recibes una llamada inesperada justo después de escanear un código QR, cuelga y llama a la organización directamente usando un número que busques tú mismo.

Qué probar a continuación

El quishing es parte de una ola más amplia de estafas impulsadas por IA que están afectando las bandejas de entrada ahora mismo — Cómo detectar correos de phishing generados por IA cubre las señales de que un mensaje no fue escrito por un humano. Y si estás recibiendo llamadas sospechosas junto con mensajes sospechosos, Los mejores bloqueadores de llamadas de estafa con IA te guía por las herramientas que pueden ayudar a filtrarlas.

Publicado el 11 de julio de 2026 · Actualizado el 11 de julio de 2026Cómo lo probamos →

Preguntas frecuentes

¿Qué es el quishing?
El quishing es una abreviatura de QR code phishing (phishing mediante código QR). Los estafadores colocan un código QR falso — en una pegatina, en un correo electrónico o en un mensaje de texto — que te redirige a un sitio web falso convincente diseñado para robar tu contraseña, número de tarjeta de crédito u otra información personal. El nombre combina 'QR' y 'phishing', la categoría más amplia de engaños que suplantan a organizaciones de confianza para robar credenciales.
¿Por qué los estafadores usan códigos QR en lugar de enlaces ordinarios?
Un enlace de phishing normal muestra la URL real como texto, que los filtros de seguridad del correo electrónico y los lectores atentos suelen detectar. Un código QR es una imagen — el software de seguridad de tu correo electrónico escanea texto, no imágenes, por lo que un código QR falso incrustado en un PDF o un archivo adjunto de imagen pasa desapercibido por la mayoría de los filtros. Tampoco puedes mirar un código QR y saber adónde lleva, como harías al pasar el cursor sobre un hipervínculo en un ordenador de escritorio.
¿Cómo puedo ver adónde lleva un código QR antes de pulsar?
En la mayoría de los teléfonos inteligentes, apuntar la cámara a un código QR muestra una pequeña vista previa de la URL antes de que pulses — busca esa vista previa y léela con atención. En iPhone, aparece como una notificación en la parte superior de la pantalla; en Android aparece justo debajo del marco del código QR. Si el dominio en la vista previa no coincide con la organización que esperas, no pulses.
¿Son seguros los códigos QR en los menús de restaurantes?
La mayoría de los menús QR de restaurantes son completamente legítimos — llevan a un PDF o un sitio web simple que el restaurante ha creado. El riesgo está en una pegatina colocada sobre el código original, que es fácil de detectar: busca un borde de pegatina o papel ligeramente diferente encima del código impreso. Si algo parece añadido, avisa al personal y no escanees.
¿Qué debo hacer si ya escanée un código QR sospechoso?
Si pulsaste el enlace pero no ingresaste ninguna información, cierra el navegador — casi con certeza estás a salvo. Si ingresaste nombre de usuario y contraseña, cambia esa contraseña inmediatamente en cada cuenta donde uses la misma, y activa la autenticación de dos factores si aún no lo has hecho. Si ingresaste un número de tarjeta de crédito, llama a tu banco de inmediato. Reporta el código sospechoso en reportfraud.ftc.gov.
¿Puedo confiar en los códigos QR en correos de empresas que conozco?
Ten cuidado. Los estafadores copian deliberadamente la imagen corporativa de empresas conocidas — bancos, servicios de entrega, compañías de servicios — porque un logotipo familiar baja tu guardia. La FTC recomienda no escanear códigos QR de correos inesperados, incluso si parecen oficiales. En su lugar, ve directamente al sitio web de la empresa escribiendo la dirección tú mismo, o llama al número en el reverso de tu tarjeta.
Radim S.
Fundador y editor

Radim es desarrollador de software que pasa el día construyendo con IA y las noches explicándosela a familiares que no les importa cómo funciona, solo qué puede hacer por ellos. Cada guía se prueba a mano antes de publicarse.