FraudeDigital // expediente: qrishing clase: guía dual · público + técnico
Capa Física · Manipulación de QR

QRishing: códigos QR que roban tus datos

Para todos: cómo detectar un código QR manipulado en la calle o en el restaurante. Para profesionales: physical tampering y contramedidas.

Miguel Ángel Carriazo 18 junio 2026 3 min de lectura
← Volver al Panel de Control
01 // Para todos Público general

¿Qué es el QRishing y cómo funciona?

QRishing es la combinación de "QR" (código de respuesta rápida) y "phishing". Los estafadores manipulan o reemplazan códigos QR legítimos por otros que redirigen a páginas de pago falsas o de descarga de malware.

Este tipo de estafa es especialmente peligrosa porque el ojo humano no puede leer lo que contiene un código QR. Confías en él porque está en un lugar físico que consideras seguro: un parquímetro, una carta de restaurante, una multa de tráfico...

📌 Ejemplo real que te puede pasar mañana:

Estacionas en la calle y ves un código QR en el parquímetro para pagar con el móvil. Lo escaneas, introduces los datos de tu tarjeta y pagas. Pero el código QR ha sido manipulado: en lugar de ir a la web oficial del ayuntamiento, va a una copia controlada por el estafador. Has pagado 2€ y le has dado los datos de tu tarjeta al delincuente.

¿Cómo te proteges? 3 reglas simples:

  • Inspecciona el código QR físicamente: Si ves que es una pegatina superpuesta o tiene bordes levantados, no lo escanees. Puede ser una pegatina fraudulenta encima del original.
  • Verifica la URL antes de introducir datos: Al escanear, la mayoría de lectores te muestran la URL antes de abrirla. Si ves un dominio extraño (pago-seguro.xyz), cierra.
  • Usa apps oficiales: Para pagar estacionamiento o servicios, usa la app oficial del ayuntamiento o la empresa. Evita depender de códigos QR desconocidos.
✅ Regla de oro: Si un código QR te pide introducir datos bancarios directamente, no lo hagas. Las pasarelas de pago seguras siempre te redirigen a la app o web del banco.
02 // Para todos Qué hacer si ya escaneaste

Y si ya escaneé un QR sospechoso... ¿qué hago?

Si has escaneado un código QR y has introducido datos bancarios o credenciales, actúa rápido.

  1. Bloquea tu tarjeta bancaria inmediatamente si has introducido sus datos. Llama a tu banco al número oficial.
  2. Cambia las contraseñas de cualquier servicio donde hayas iniciado sesión desde el enlace sospechoso.
  3. Revisa tus movimientos bancarios en los próximos días.
  4. Denuncia a la Policía Nacional o Guardia Civil. Indica el lugar donde viste el código QR.

Y recuerda: si un código QR te lleva a una página que te pide datos de tu tarjeta para un pago de pocos euros, sospecha. Las empresas legítimas usan pasarelas de pago seguras integradas.

⚙️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS ⚙️
03 // Para técnicos Physical Tampering · Redirección

Análisis técnico del QRishing

El QRishing combina técnicas de manipulación física (tampering) con redirecciones web para capturar datos sensibles.

🔹 Pegatinas superpuestas

Los atacantes imprimen pegatinas de alta calidad con códigos QR fraudulentos y las colocan sobre los códigos legítimos en parquímetros, carteles de restaurantes o máquinas expendedoras.

🔹 Redirecciones dinámicas

El código QR apunta a un dominio controlado por el atacante que, tras capturar los datos, redirige al usuario a la web legítima para que no note el fraude.

QR → pago-seguro.xyz → captura de datos → redirección a parquimetro.oficial.es El usuario ve que el pago "funcionó" y no sospecha nada.
🔹 Imposibilidad de validación humana

El ojo humano no puede leer el contenido de un código QR. Esto hace que el ataque sea especialmente efectivo: confías en la apariencia física sin poder verificar el destino digital.

Conclusión técnica: La confianza en los códigos QR debe ser limitada. La prevención requiere tanto medidas físicas (inspección de los códigos) como digitales (verificación de URLs).

04 // Para técnicos Mitigación · Seguridad Física

Estrategias de defensa y buenas prácticas

La protección contra QRishing combina medidas físicas (protección de los códigos) y medidas digitales (verificación de destinos).

🔹 Protección física de códigos QR

Instalar códigos QR transparentes o con elementos de seguridad visibles (marcas de agua, hologramas) que dificulten la superposición de pegatinas.

🔹 Inspección regular

Los responsables de espacios públicos deben inspeccionar regularmente los códigos QR para detectar manipulaciones o sustituciones.

🔹 Concienciación del usuario

Educar a los usuarios para que verifiquen la URL antes de introducir datos y para que inspeccionen visualmente los códigos QR antes de escanearlos.

Resumen: El QRishing explota la confianza en el entorno físico. La defensa principal es la inspección visual y la verificación de la URL antes de introducir datos sensibles.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo