De un tiempo a esta parte, especialmente a raíz de la pandemia de COVID-19, los códigos QR se han convertido en algo habitual en nuestro día a día. Están presentes en restaurantes, máquinas expendedoras o incluso en avisos y paquetes que llegan a casa de los vecinos de Albacete. Sin embargo, detrás de esa aparente comodidad se esconde una nueva amenaza digital que preocupa cada vez más a expertos en ciberseguridad y fuerzas policiales: el quishing, una modalidad de fraude que utiliza códigos QR falsificados para robar datos bancarios y vaciar cuentas en cuestión de segundos.
Esta técnica cuyo, cuyo nombre surge de la combinación de ‘QR’ y ‘phishing’, aprovecha la confianza de los usuarios al escanear estos códigos con el teléfono móvil. El engaño suelo comenzar con la colocación de pegatinas falsas sobre los QR originales en espacios públicos como parkings, mesas de bares, estaciones o máquinas de pago. Al escanear el código manipulado, la víctima accede sin saberlo a una página web clonada donde se produce la estafa.
Uno de los casos más conocidos ocurrió recientemente cuando una mujer ocurrió recientemente cuando una mujer escaneó el supuesto código de pago de un aparcamiento, resultando ser una pegatina falsa pegada sobre el QR original. Tras acceder a una web fraudulenta los ciberdelincuentes lograron acceder a su cuenta y sustraer miles de euros. Situaciones similares también se han detectado en ciudades como Madrid, donde aparecieron falsas multas colocadas en los parabrisas de numerosos coches con códigos QR que dirigían a páginas fraudulentas. La Policía tuvo que alertar a toda la ciudadanía de esta situación y abrir investigaciones por estafa.
En Sevilla, otro episodio evidenció hasta qué punto este fraude puede resultar sofisticado. Un estafador mostró a un camarero un supuesto QR de pago, creyendo el trabajador que estaba cobrando una consumición, pero en realidad autorizó sin saberlo una solicitud de dinero que permitió al delincuente acceder a su aplicación bancaria y realizar varias transferencias.
Los expertos advierten además de nuevas fórmulas de engaño relacionadas con envíos inesperados de paquetes a domicilio. Algunas víctimas han recibido paquetes que contenían una nota con un código QR para activar supuestos descuentos o conocer el remitente. Sin embargo, al escanerarlo, eran redirigiros a páginas falsas donde acababan facilitando datos personales o bancarios a los ciberdelincuentes.
El crecimiento de este fenómeno preocupa especialmente porque el fraude online continúa disparándose en España. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), durante 2025 los ciberfraudes representaron cerca del 40% de los incidentes de seguridad registrados en nuestro país, con más de 45.000 casos denunciados. Además, casi 9 de cada 10 delitos relacionados con la cibercriminalidad corresponden a estafas informáticas orientadas al robo de dinero.
Cómo evitar caer en la trampa
Debido al progresivo aumento de este tipo de acciones fraudulentas, y para evitar que los albaceteños caigan en las trampas cada vez más ingeniosas y perfeccionadas de los ciberdelincuentes, desde El Digital de Albacete y en colaboración con Globalcaja ponemos a su disposición sencillos consejos para esquivar estas estafas.
Los especialistas recomiendan extremar la precaución antes de escanear cualquier código QR en la vía pública o recibido de forma inesperada. Una de las principales señales de alerta es detectar pegatinas superpuestas o códigos manipulados en parquímetros, mesas o carteles informativos. También aconsejan desconfiar de enlaces acortados o direcciones web sospechosas.
Además, recuerdan que las administraciones públicas nunca gestionan el cobro de multas mediante códigos QR colocados en la calle, sino únicamente a través de notificaciones oficiales o sedes electrónicas. En el caso de establecimientos comerciales, los pagos deben realizarse siempre a través de datáfonos bancarios autorizados.
Otra de las recomendaciones más importantes pasa por revisar la configuración del teléfono móvil y desactivar la apertura automática de enlaces tras escanear un QR. Esta opción permite visualizar primero la dirección web completa y comprobar si realmente pertenece a la entidad legítima.
Qué hacer si ya has escaneado un QR fraudulento
Si una persona sospecha haber facilitado datos personales o bancarios tras escanear un código falso, los expertos recomiendan actuar con rapidez. El primer paso es contactar inmediatamente con el banco para bloquear tarjetas y accesos a la banca digital. También es importante guardar capturas de pantalla de la página fraudulenta y del código QR utilizado, ya que pueden servir como prueba en una denuncia.
Igualmente, aconsejan desconectar temporalmente el dispositivo de internet activando el modo avión y ponerse en contacto con la línea gratuita 017 del INCIBE, donde ofrecen asistencia técnica especializada ante este tipo de ciberestafas.
La expansión del quishing confirma que los delincuentes buscan cada vez métodos más sofisticados para engañar a los usuarios aprovechando herramientas cotidianas. Por ello, los expertos insisten en aplicar una máxima básica de seguridad digital: desconfiar siempre antes de escanear cualquier código QR cuyo origen no esté completamente verificado.
