Cómo detectar un código QR falso en un parquímetro
Una pegatina que cuesta treinta centavos imprimir es ahora una de las estafas de pago más comunes en ciudades de EE. UU. Si un código QR en un parquímetro luce mínimamente despegado, torcido o genérico, no lo escanees. Paga en el parquímetro o en la aplicación de la ciudad.
Cómo funciona la estafa de la pegatina
Un estafador imprime un código QR en papel adhesivo barato y lo pega encima de las instrucciones reales del parquímetro. El código lleva a una página de pago parecida — a veces un clon casi perfecto del sitio del proveedor de la ciudad — que captura los datos de tu tarjeta y nunca envía un centavo a la ciudad. Te vas pensando que pagaste. Horas después, un agente te pone una multa. Unos días después, tu banco detecta un segundo cargo de un comercio del que nunca habías oído hablar.
La técnica tiene nombre: quishing, abreviatura de phishing con códigos QR. La FTC lleva advirtiendo sobre esto desde 2023 y ha señalado los parquímetros como objetivo. Funciona porque la gente confía en los códigos QR como confía en los carteles impresos. Una pegatina en un parquímetro municipal parece oficial, y la mayoría de los conductores no se detienen a cuestionarla.
Señales físicas en el propio parquímetro
Observa la pegatina durante diez segundos antes de escanear. La mayoría de las falsificaciones no superan este examen:
- Esquinas despegadas o levantadas. Las etiquetas oficiales suelen estar laminadas o incrustadas en la carcasa del parquímetro, no pegadas encima. Una esquina que se curva significa que la añadieron después.
- Burbujas de aire, arrugas o colocación torcida. Las etiquetas reales se aplican con prensa en fábrica. Las falsas se colocan a mano, con prisa, sobre una superficie existente.
- Texto genérico. "Pague aquí" o "Escanee para pagar" sin número de zona, número de parquímetro o nombre del operador es una señal. Los sistemas legítimos imprimen un código de zona o de plaza — así es como el back-end vincula tu pago a tu sitio.
- Logotipo ligeramente distinto. Un tono de azul incorrecto, baja resolución o una tipografía que no concuerda con el resto del parquímetro. Los estafadores descargan logotipos municipales de la web; los colores y la nitidez rara vez coinciden con los originales.
- La prueba de la uña. Levanta una esquina con cuidado. Si se despega limpiamente, es una pegatina añadida. Aléjate.
Señales de alarma en la URL después de escanear
Si la pegatina pasa el examen físico, la URL es tu segundo filtro. La mayoría de las cámaras de teléfono muestran ahora la URL de destino en una vista previa antes de abrir la página. Detente y léela antes de tocarla.
Los dominios parecidos son la pista clave. En Los Ángeles, la URL de la estafa fue poi2park.com — una letra cambiada respecto al legítimo pay2park.com. Otros patrones a vigilar: TLDs inusuales como .xyz, .top o .info; cadenas largas de guiones; palabras inyectadas como "fast" o "secure" (secure-parking-pay.com); o una dirección IP en lugar de un nombre de dominio.
Una URL legítima apunta a uno de dos sitios:
- El dominio propio de la ciudad —
austintexas.gov,portland.gov,sfgov.org, etc. - Un proveedor externo con nombre conocido: PayByPhone, ParkMobile, Park ATX, Passport Parking. Si la vista previa muestra otra cosa, ciérrala.
La página también debería ser HTTPS y cargar con la marca de la ciudad. Un formulario de pago genérico y vacío es una señal de alarma.
Dónde está ocurriendo
Esto no es una broma aislada. Es un patrón organizado, en varias ciudades, que se repite cada pocos meses.
- Austin, TX: La policía de Austin confirmó pegatinas QR fraudulentas en 29 parquímetros municipales, todas redirigiendo a sitios de pago no oficiales.
- San Antonio, TX: Más de 100 estaciones de pago fueron pegadas en la misma campaña coordinada.
- Houston, TX: El servicio de control de aparcamiento de Houston recordó a los residentes que la ciudad nunca ha usado códigos QR para el pago de aparcamiento. Cada pegatina QR en un parquímetro de Houston es fraudulenta por definición.
- Los Ángeles, CA: El dominio parecido
poi2park.comcapturó datos de tarjetas en varios barrios.
Si tu ciudad está en esta lista, trata cualquier código QR en un parquímetro como falso hasta que se demuestre lo contrario.
Qué hacer si ya escaneaste y pagaste
Tres pasos, en orden:
- Llama al emisor de tu tarjeta y disputa el cargo. El nombre del comercio en tu estado de cuenta no coincidirá con la ciudad. Las redes de tarjetas suelen revertir estos cargos cuando los marcas, y la mayoría de los emisores reemiten la tarjeta si lo pides.
- Impugna la multa de aparcamiento si recibiste una por el mismo horario. Las ciudades han anulado estas multas en bloque para víctimas confirmadas de estafa de pegatina — lleva el estado de cuenta y la foto de la pegatina si la tomaste.
- Repórtalo. Presenta una denuncia en ReportFraud.ftc.gov. La FTC rastrea la campaña a nivel nacional, y la alerta de quishing del FBI cubre la misma familia de estafas en aparcamientos, paquetes y correos electrónicos.
Si la página falsa te pidió más que los datos de la tarjeta — un número de teléfono, una contraseña de correo, una frase semilla de cartera — cambia esas credenciales de inmediato y activa la autenticación de dos factores donde aún no la tengas.
Preguntas frecuentes
¿Las ciudades reales usan códigos QR para el aparcamiento?
Algunas sí, pero la mayoría de las ciudades de EE. UU. — Houston, por ejemplo — explícitamente no lo hacen. Incluso las ciudades que sí permiten el pago por QR lo enrutan a través de una aplicación con la marca de la ciudad o un cartel impreso y laminado con número de zona, no una pegatina aplicada sobre la cara del parquímetro. Si ves un código en una pegatina sin número de zona ni marca municipal, trátalo como sospechoso.
¿Qué URL debería ver al escanear un código QR real de un parquímetro?
O bien el dominio oficial de la ciudad (algo como portland.gov o austintexas.gov) o el proveedor de aparcamiento con nombre conocido de la ciudad (PayByPhone, ParkMobile, Park ATX, Passport Parking). Los dominios parecidos con palabras adicionales o letras cambiadas — pay-park-fast.com, poi2park.com — son una pista. Lee la URL de vista previa que muestra tu teléfono antes de tocarla.
Ya escaneé y pagué. ¿Qué hago?
Llama al emisor de tu tarjeta de inmediato y disputa el cargo — el comercio en el estado de cuenta no coincidirá con la ciudad. Si recibiste una multa de aparcamiento en el mismo horario, impúgnala; la mayoría de los municipios han anulado multas a víctimas de la estafa de pegatina. Luego denuncia el fraude en ReportFraud.ftc.gov para que la FTC pueda rastrear la campaña.
<script type="application/ld+json"> { "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "¿Las ciudades reales usan códigos QR para el aparcamiento?", "acceptedAnswer": { "@type": "Answer", "text": "Algunas sí, pero la mayoría de las ciudades de EE. UU. — Houston, por ejemplo — explícitamente no lo hacen. Incluso las ciudades que sí permiten el pago por QR lo enrutan a través de una aplicación con la marca de la ciudad o un cartel impreso y laminado con número de zona, no una pegatina aplicada sobre la cara del parquímetro. Si ves un código en una pegatina sin número de zona ni marca municipal, trátalo como sospechoso." } }, { "@type": "Question", "name": "¿Qué URL debería ver al escanear un código QR real de un parquímetro?", "acceptedAnswer": { "@type": "Answer", "text": "O bien el dominio oficial de la ciudad (algo como portland.gov o austintexas.gov) o el proveedor de aparcamiento con nombre conocido de la ciudad (PayByPhone, ParkMobile, Park ATX, Passport Parking). Los dominios parecidos con palabras adicionales o letras cambiadas — pay-park-fast.com, poi2park.com — son una pista. Lee la URL de vista previa que muestra tu teléfono antes de tocarla." } }, { "@type": "Question", "name": "Ya escaneé y pagué. ¿Qué hago?", "acceptedAnswer": { "@type": "Answer", "text": "Llama al emisor de tu tarjeta de inmediato y disputa el cargo — el comercio en el estado de cuenta no coincidirá con la ciudad. Si recibiste una multa de aparcamiento en el mismo horario, impúgnala; la mayoría de los municipios han anulado multas a víctimas de la estafa de pegatina. Luego denuncia el fraude en ReportFraud.ftc.gov para que la FTC pueda rastrear la campaña." } } ] } </script>La conclusión
Las señales en la pegatina, las señales en la URL y el simple hecho de que la mayoría de las ciudades de EE. UU. no usan códigos QR para el aparcamiento son suficientes para detectar casi todas las falsificaciones. Toda la inspección lleva menos de un minuto: diez segundos en la pegatina, diez en la vista previa de la URL y una verificación rápida de que el dominio coincide con la ciudad o un proveedor con nombre conocido.
Si algo no encaja, paga en el parquímetro directamente o abre la aplicación de la ciudad. Y si quieres una segunda opinión sobre una URL antes de tocarla, el escáner de QRDock hace una verificación de seguridad en cada código que lee. No detecta todas las falsificaciones, pero marca las imitaciones obvias. Para la pregunta más amplia de si los códigos QR son seguros en general, consulta nuestra explicación de si es realmente seguro escanear un código QR.