El quishing es phishing mediante código QR — escanear un código falso te lleva a un sitio que roba tus credenciales o datos de pago. La IA ha hecho estas estafas mucho más fáciles de crear y más difíciles de detectar. Los hábitos más seguros son: leer la vista previa de la URL antes de pulsar, nunca ingresar datos de pago o acceso después de escanear un código QR en un lugar público, y escribir las direcciones manualmente cuando tengas dudas.
Probablemente has escaneado docenas de códigos QR en el último año — para ver un menú de restaurante, pagar el estacionamiento o registrarte en algún lugar. Ese pequeño cuadrado es ahora una de las herramientas favoritas de los estafadores, y la IA les ha facilitado dramáticamente la creación de códigos falsos convincentes. El truco se llama quishing, y se está expandiendo tan rápido que tanto el FBI como la FTC han emitido advertencias al respecto.
¿Qué es el quishing?
La palabra combina "QR" y "phishing" — la categoría más amplia de estafas que suplantan a una organización de confianza para robar tus credenciales o datos de pago.
Así funciona: un estafador crea un código QR que, al escanearlo, te lleva a un sitio web falso que parece exactamente tu banco, el portal de pago de estacionamiento de tu ciudad o la página de seguimiento de una empresa de mensajería. La página te pide que inicies sesión, confirmes un pago o verifiques tu identidad. Si lo haces, tus credenciales o número de tarjeta van directamente al estafador.
La razón por la que los códigos QR son especialmente efectivos para los estafadores: los filtros de seguridad de correo electrónico y SMS están diseñados para escanear enlaces de texto sospechosos — no para leer imágenes. Un código QR falso incrustado en un PDF o un archivo adjunto de imagen pasa desapercibido por la mayoría de los filtros.
Dónde aparecen los códigos QR falsos
Los códigos falsos aparecen en lugares muy cotidianos:
Parquímetros. Se coloca una pegatina con un código QR falso sobre el código de pago legítimo. Lo escaneas, ingresas tu tarjeta de crédito en una convincente página de "pago de estacionamiento" falsa — y el parquímetro nunca registra tu pago.
Menús de restaurantes. La mayoría de los menús QR son seguros, pero se ha pillado a estafadores colocando pegatinas sobre los códigos originales. La versión falsa te redirige a una página que puede pedir tu tarjeta de crédito "para reservar tu lugar" u ofrecer un registro con descuento.
Mensajes de texto sobre entrega de paquetes. Recibes un mensaje diciendo que tu entrega está retrasada y pidiéndote que escanees un código o sigas un enlace para reprogramar. La URL lleva a una página falsa que pide tu dirección y datos de pago.
Folletos y carteles. Códigos falsos han aparecido en folletos comunitarios — una "tarjeta de regalo gratis" u "oferta exclusiva" — colocados en lavanderías, bibliotecas y vestíbulos de edificios de apartamentos.
Correos electrónicos y adjuntos PDF. Un mensaje de un supuesto banco, empresa de servicios o empresa de entrega contiene un código QR pidiéndote que "verifiques tu cuenta." Esta es la variante digital más común, y la que más fácilmente pasa el software de seguridad del correo electrónico.
Por qué la IA ha empeorado las cosas
Antes de que las herramientas de escritura con IA fueran ampliamente disponibles, un correo electrónico fraudulento era a menudo fácil de detectar: redacción torpe, errores gramaticales, una solicitud extraña que no sonaba como lo que diría un banco real. Ya no es un indicador fiable.
Según un informe de julio de 2026, los ataques de phishing impulsados por IA aumentaron catorce veces en un solo mes, y el phishing generado por IA ahora representa aproximadamente el 40% de todos los ataques de phishing. Los estafadores están usando IA para escribir correos perfectamente profesionales, generar páginas de inicio de sesión falsas de aspecto realista y crear códigos QR a escala — cientos de versiones ligeramente diferentes dirigidas a diferentes personas o regiones.
La combinación es especialmente efectiva: el correo parece venir de una empresa real, el código QR elude los filtros basados en texto, y el sitio web falso parece idéntico al real. El único momento en que puedes detectarlo es cuando verificas la URL a la que realmente apunta el código.
Cómo verificar un código QR antes de pulsar
No tienes que dejar de usar los códigos QR por completo. Solo necesitas un rápido hábito: leer la vista previa de la URL antes de pulsar.
En iPhone: Cuando apuntas tu cámara a un código QR, aparece una pequeña notificación en la parte superior de la pantalla con la URL de destino. No pulses esa notificación de inmediato — lee primero la dirección.
En Android: La mayoría de las aplicaciones de cámara Android muestran una pequeña barra de URL debajo del marco del código QR. Léela antes de pulsar.
Qué buscar en la URL:
- ¿El dominio coincide con la organización que esperarías? Una app de estacionamiento municipal podría ser "nombreciudad.es" o "parkXYZ.es" — no debería ser "parking-secure-pay.net" con un dominio aleatorio que no reconoces.
- ¿Hay una larga cadena de caracteres aleatorios en la URL? Los códigos QR legítimos para un menú o página de pago normalmente tienen direcciones cortas y limpias.
- ¿El dominio usa errores ortográficos sutiles — "rnibaonco.es" en lugar de "miobanco.es"? Esa letra adicional es fácil de pasar por alto a primera vista.
Hábitos seguros para el futuro
Escribe las direcciones manualmente cuando tengas dudas. Si un código QR en un correo te pide "verificar tu cuenta" con tu banco, no lo escanees — abre la app de tu banco o escribe la dirección que conoces en tu navegador. La FTC recomienda específicamente esto como principal consejo para la seguridad de los códigos QR.
Nunca ingreses datos de pago o acceso después de escanear un código público. Si un parquímetro, un cartel o cualquier código QR público te pide tu tarjeta de crédito o contraseña, detente. Las apps de estacionamiento legítimas y los sistemas de pago públicos te permiten pagar a través de una app establecida que ya tienes, o aceptan tu tarjeta directamente en el parquímetro. No necesitan que ingreses tu número completo de tarjeta en un sitio web al que llegaste mediante una pegatina QR.
Comprueba si hay pegatinas. Antes de escanear un código QR en una superficie física — un parquímetro, una tarjetita de mesa, un cartel — fíjate si el código está impreso directamente o si hay un borde de pegatina encima. Una pegatina colocada sobre un código legítimo es la forma física más común de esta estafa.
Sé especialmente escéptico con los códigos QR en correos electrónicos. Los bancos reales, las empresas de servicios y los servicios de entrega rara vez necesitan que escanees un código QR. Tienen apps y sitios web a los que puedes acceder directamente. Un correo inesperado con un código QR es una señal de alarma, incluso si la imagen corporativa parece correcta.
A qué prestar atención
Estos hábitos detectarán la mayoría de los intentos de quishing, pero ninguna verificación es infalible. Los estafadores siguen perfeccionando su técnica, y las páginas falsas que crean son a veces visualmente indistinguibles de las reales. Si has ingresado información después de escanear un código y luego te sentiste inseguro, actúa rápido: cambia tu contraseña, llama a tu banco y reporta el incidente en reportfraud.ftc.gov. Cuanto antes actúes, mejores serán tus posibilidades de limitar cualquier daño.
Algo que esta guía no cubre: las llamadas telefónicas de seguimiento impulsadas por IA que a veces acompañan a las estafas QR. Un estafador puede llamar poco después de que hayas escaneado un código, alegando "verificar tu pago" y pidiendo los datos de tarjeta que no ingresaste en el sitio falso. Si recibes una llamada inesperada justo después de escanear un código QR, cuelga y llama a la organización directamente usando un número que busques tú mismo.
Qué probar a continuación
El quishing es parte de una ola más amplia de estafas impulsadas por IA que están afectando las bandejas de entrada ahora mismo — Cómo detectar correos de phishing generados por IA cubre las señales de que un mensaje no fue escrito por un humano. Y si estás recibiendo llamadas sospechosas junto con mensajes sospechosos, Los mejores bloqueadores de llamadas de estafa con IA te guía por las herramientas que pueden ayudar a filtrarlas.


