Cómo funciona en realidad el inicio de sesión con código QR
Escanear para iniciar sesión se salta el cuadro de contraseña. La pantalla en la que estás iniciando sesión —una laptop, un smart TV, un quiosco— muestra un código QR que codifica un token de sesión de un solo uso, no un nombre de usuario ni una contraseña. Tu teléfono, ya conectado a tu cuenta, escanea el código y confirma "aprobar esta sesión". El sitio marca esa sesión como tuya, y listo: has entrado.
Google popularizó este patrón en 2012, y hoy es habitual en WhatsApp Web y de Escritorio, varios servicios de streaming, y los flujos de "escanear para continuar en el escritorio" de las herramientas de chat con IA. Un código QR común solo puede llevar una cosa capaz de hacer algo por sí sola: una URL. No ejecuta código por sí mismo, pero esa URL es justo lo que un atacante busca aprovechar.
Dónde aparece el inicio de sesión con QR
Te encontrarás con el escanear-para-entrar sobre todo al emparejar un teléfono con una pantalla más grande: WhatsApp Web, transmitir una sesión a un dispositivo de streaming, o vincular un navegador de escritorio con un asistente de IA que ya usas en el móvil. Es popular por una razón sencilla: evita escribir una contraseña larga con el control remoto de la TV, y evita la contraseña débil y reutilizada que alguien elige por pura frustración con ese mismo control.
Esa comodidad merece una pausa. Saber si un código en particular es realmente seguro para escanear merece la misma dosis de duda que le darías a una página desconocida que te pide tus credenciales.
Por qué pueden secuestrar el inicio de sesión con QR
El inicio de sesión con QR no falla por criptografía débil. Se explota por la confianza mal puesta en cualquier pantalla que esté mostrando el código. Si alguien logra que escanees un código que ellos controlan —cambiado sobre un dispositivo real, o incluido en un correo— ese código puede llevar a una página de inicio de sesión creada para capturar su token de sesión en lugar de aprobar el tuyo real.
Esto es lo que lo hace tan efectivo: los códigos QR se cuelan por muchas defensas estándar contra el phishing. El enlace malicioso va dentro de una imagen, no de texto, así que las herramientas de escaneo de enlaces y las pasarelas de correo seguras no tienen nada que analizar. Toda la interacción se traslada, sin hacer ruido, de un escritorio monitoreado a un teléfono sin gestión corporativa.
Esto no es hipotético. El FBI ha advertido que grupos vinculados a estados como Kimsuky han usado códigos QR en campañas de spear-phishing contra organizaciones de EE. UU., y el volumen de quishing ha ido creciendo rápido a medida que más atacantes recurren a esta técnica.
El contexto hace la mayor parte del trabajo a la hora de distinguir un aviso real de un intento de secuestro. El NCSC plantea el riesgo como algo situacional: un código que tú mismo generas, en una pantalla de inicio de sesión en la que ya confías, es una situación muy distinta a uno que aparece de la nada en un mensaje de texto o un correo.
Consejos, trampas y cómo estar más seguro con QRDock
Unos pocos hábitos cubren la mayor parte del riesgo:
- Escanea solo un código QR de inicio de sesión que tú mismo hayas generado, en el sitio o la app real. Nunca uno que te haya enviado otra persona.
- Usa el escáner integrado de tu teléfono en lugar de una app de terceros al azar. Los escáneres integrados suelen mostrar antes la URL de destino, así que puedes revisarla primero.
- Trata cualquier código QR que aparezca sin avisar en un correo o mensaje de texto como sospechoso hasta verificarlo de otra forma. Llama a la empresa usando un número que ya conoces, no uno tomado del mensaje.
- ¿Ya escribiste tus credenciales después de escanear algo sospechoso? Cambia esa contraseña ahora mismo y activa la autenticación de dos factores o una passkey.
El escáner de QRDock muestra la URL de destino y marca los enlaces sospechosos antes de que llegues a la página: una segunda mirada útil antes de comprometerte, aunque es una verificación de mejor esfuerzo, no un sustituto de los hábitos anteriores. Escanea y revisa un enlace con QRDock antes de abrirlo.
Preguntas frecuentes
¿Iniciar sesión con código QR es menos seguro que escribir una contraseña?
No, en principio no. Elimina el riesgo de que un keylogger capture una contraseña escrita, y evita por completo las contraseñas débiles o reutilizadas. El riesgo se traslada en cambio a la pantalla que muestra el código: si esa página o ese correo están falsificados, escanear aprueba una sesión para el atacante en vez de para ti.
¿Alguien puede secuestrar mi sesión con solo mostrarme un código QR?
Solo si escaneas un código que no generaste tú y luego lo apruebas — uno incluido en un correo de phishing, por ejemplo, o colocado sobre un código legítimo. Un código QR que tú generaste en tu propia pantalla de inicio de sesión de confianza, y que escaneas con tu propio teléfono, no es algo que un atacante pueda interceptar en silencio.
¿Cómo sé si un aviso de inicio de sesión con QR es legítimo?
Genera tú mismo el código desde el sitio o la app real, en lugar de escanear uno que te enviaron. Comprueba que la URL de destino que muestra tu escáner coincide con el servicio que esperas. Trata cualquier código QR que llegue de forma inesperada por correo o mensaje de texto como sospechoso hasta verificarlo de otra manera.
¿Qué debo hacer si escaneé un código QR y no estoy seguro de qué hizo?
Revisa qué página abrió y si introdujiste algún dato de inicio de sesión ahí. Si lo hiciste, cambia la contraseña de esa cuenta de inmediato y activa la autenticación de dos factores o una passkey si el servicio la ofrece.
La conclusión
El inicio de sesión con código QR cambia el escribir por la confianza en la pantalla que muestra el código — y esa confianza es justo lo que busca un intento de secuestro. Genera tus propios códigos, revisa el destino antes de comprometerte, y usa un escáner que muestre la URL primero. Esa es, en gran parte, la diferencia entre que escanear para entrar trabaje a tu favor o en tu contra.