Alerta por QRishing: códigos QR falsos y cómo protegerte

Última actualización: 13 de agosto de 2025
Autor: Pedro Lopez

Ilustración sobre QRishing y códigos QR

Los códigos QR se han normalizado en pagos, menús y trámites, y esa comodidad ha abierto la puerta a una estafa silenciosa: el QRishing, una maniobra que redirige a sitios trampa para robar datos o instalar malware. Cada vez que alguien escanea por inercia, sin mirar dos veces, deja un resquicio que los delincuentes aprovechan.

Fuentes del sector financiero, como responsables de educación en prevención de fraudes del BCP, llevan meses alertando: no escanees por costumbre. La recomendación es adoptar una “desconfianza saludable”, comprobar el origen y previsualizar enlaces antes de abrirlos, especialmente si el QR llega por canales no solicitados.

Qué es el QRishing y cómo funciona

Código QR y seguridad digital

El QRishing consiste en manipular un QR para que apunte a dominios falsos o a descargas maliciosas. Puede presentarse como un adhesivo sobre un QR legítimo en un cartel, un código enviado por correo o WhatsApp con excusa de promoción, o incluso insertado en documentos falsificados (multas, cobros, notificaciones).

Al escanear, la víctima es conducida a una página que imita servicios oficiales (banca, tiendas, entidades públicas) y solicita credenciales, números de tarjeta o claves de un solo uso. En otros casos, intenta que el usuario instale una aplicación que compromete el móvil o el ordenador.

Para evitar el anzuelo, conviene fijarse en la vista previa de la URL, comprobar que empieza por https:// y que el navegador muestra el candado de seguridad. Si algo chirría (errores, dominios raros, falta de coherencia con la marca), lo sensato es no seguir.

Tácticas habituales: del QR sobrepuesto al enlace camuflado

Tácticas de QRishing

Los estafadores explotan la apariencia de normalidad del QR y la prisa del día a día. Estas son maniobras frecuentes que conviene tener en el radar porque enmascaran el fraude con gestos cotidianos:

  • Adhesivos sobrepuestos: pegan un QR falso encima del original en mesas, carteles o puntos de pago para desviar el escaneo.
  • Mensajes y correos: envían QRs por SMS, email o redes con ganchos de “premios”, “ofertas” o “trámites urgentes”.
  • Documentos apócrifos: incluyen el código en supuestas multas, avisos de deuda o comunicaciones oficiales.
  • Falsas apps: tras escanear, piden instalar software que roba información o da control del dispositivo.
estafa en TikTok e Instagram-1
Artículo relacionado:
Las estafas en TikTok e Instagram: cómo operan los fraudes y qué hacer para protegerte

Casos recientes y alerta en Perú

Casos de QRishing en Perú

En julio, el Reniec alertó de una estafa en la que supuestos funcionarios ofrecían gestionar el DNI electrónico 3.0. El esquema combinaba llamadas, mensajes de WhatsApp y un QR que dirigía a una aplicación maliciosa, diseñada para capturar datos del usuario.

Ese mismo mes se reportó un QR adulterado que remitía a una web que calcaba la banca por internet para pedir credenciales de acceso. Con esa información, los delincuentes podían entrar en cuentas y retirar fondos en minutos, poniendo en riesgo la gratificación de numerosos trabajadores.

La Policía Nacional enmarcó estos episodios en un aumento general de los delitos informáticos. De mantenerse la tendencia, el volumen de denuncias podría duplicarse respecto a 2024, un escenario que refuerza la necesidad de prevención y denuncia temprana.

Cómo protegerse y qué hacer si ya escaneaste

Cómo prevenir el QRishing

La mejor defensa frente al QRishing es elevar el umbral de sospecha y aplicar buenas prácticas de verificación. Estas pautas, recomendadas por expertos en seguridad financiera, ayudan a cortar el fraude antes de que empiece:

  1. Comprueba el origen: escanea solo códigos de fuentes identificables. Evita QRs en la vía pública o en comunicaciones no solicitadas.
  2. Revisa el aspecto físico: si el QR está mal pegado, borroso o desentona con el soporte, consulta al establecimiento.
  3. Previsualiza la URL: usa la vista previa de la cámara o app; si el enlace parece extraño o no coincide con la marca, no entres.
  4. Busca señales de seguridad: verifica https:// y el candado en el navegador. Desconfía de dominios mal escritos o inusuales.
  5. No compartas datos sensibles: ninguna entidad seria pide claves, CVV o códigos tras un escaneo. Si te los solicitan, corta.

Si ya escaneaste un QR sospechoso, actúa rápido para minimizar el daño: activa modo avión, cierra la pestaña y no introduzcas datos; elimina cualquier app instalada a raíz del escaneo, pasa un antivirus, cambia contraseñas y contacta con tu banco para bloquear accesos o tarjetas. Denuncia ante la Policía y comunica el caso a la entidad afectada.

Con el uso masivo de QR en pagos y trámites, conviene incorporar hábitos de comprobación antes de escanear y educar a nuestro entorno. La combinación de atención, formación y denuncia reduce el margen de maniobra de los estafadores y ayuda a frenar una modalidad de fraude que se nutre de la rutina y las prisas.