Qué es (respuesta en un párrafo)
Un código QR cripto es una dirección de monedero — esa cadena de 26 a 35 caracteres que de otro modo tendrías que escribir a mano — envuelta en una imagen escaneable, nada más. Es distinto de los códigos de rieles fiat que cubrimos en cómo generar un código QR de pago para Apple Wallet, Venmo o PayPal: esos pasan por un procesador que puede marcar o revertir un error, mientras que una dirección cripto es el destino final. Escaneas, y lo codificado ahí dentro es adonde van los fondos — ningún banco se interpone para detectar un error.
Cómo funciona en realidad
Codificación: es solo texto en un contenedor
Un código QR almacena datos en uno de cuatro modos — numérico, alfanumérico, byte o kanji — y una dirección de monedero encaja fácilmente como datos alfanuméricos o de byte, necesitando solo unos 26-35 bytes, bien dentro incluso de un código pequeño. Nada en el contenedor es criptográfico: la seguridad vive en la cadena de la dirección y en la firma de la transacción, no en el formato QR. Por eso la corrección de errores Reed-Solomon permite que un código siga escaneable con hasta un 30% dañado o cubierto — útil para un código gastado, y exactamente lo que aprovecha una estafa de pegatina superpuesta.
Direcciones de monedero estáticas vs. dinámicas
Las apps de monedero generan un código estático — una dirección de recepción fija que reutilizas — o uno dinámico por transacción, a veces con un monto incorporado. Consulta códigos QR estáticos vs. dinámicos para esa disyuntiva en general. Los monederos cripto se apoyan en el escaneo QR desde que el primer monedero móvil de Bitcoin añadió envío/recepción por QR en marzo de 2011 — más tiempo que la mayoría de los otros usos de QR en este sitio.
Dónde lo verás
Pantallas de "recibir" en apps de monedero, cajeros de cripto, retiros en exchanges, transferencias en persona, y cobros en negocios que aceptan cripto directamente. Dos patrones se repiten. Uno: una pegatina sobre un código legítimo — en un cajero, en un póster — que escanea igual de limpio que el original debajo, lo mismo que en estafas con pegatinas y quishing. Dos: un código QR en una plataforma de inversión falsa, presentado como la "dirección de depósito" para una oferta que promete rendimientos desmedidos.
Consejos, trampas y una guía rápida con QRDock
El riesgo que atrapa incluso a los usuarios cuidadosos ocurre después del escaneo, no durante. El malware que secuestra el portapapeles vigila una dirección copiada y la sustituye por una controlada por el atacante que coincide en los mismos primeros y últimos caracteres — diseñada para sobrevivir un vistazo rápido. Una muestra rastreada monitoreaba más de 2.3 millones de direcciones para mantener actualizada su base de imitaciones, frente a unas 400,000-600,000 en variantes anteriores, sin producir ninguna señal visible.
Unos pocos hábitos cierran la mayor parte de la brecha: compara la dirección completa, no solo los extremos; en un destino nuevo o de alto valor, envía primero un monto de prueba; evita códigos públicos en lugares desconocidos; revisa la URL de destino antes de abrirla.
Para escanear uno con QRDock: abre la app, apunta al código, y revisa el texto decodificado antes de continuar — la verificación de seguridad de URL integrada marca enlaces maliciosos conocidos. No verifica que una dirección pertenezca a quien crees; eso sigue dependiendo de ti. Abre QRDock para escanear y confirmar antes de enviar.
Preguntas frecuentes
¿Escanear el código QR de una dirección de monedero cripto es más seguro que escribirla?
En cuanto a precisión, sí — escanear evita los errores de transcripción de una cadena de 26 a 35 caracteres. Pero no verifica que el código sea legítimo. Un código manipulado o sustituido escanea igual de limpio que uno correcto, así que el beneficio de precisión solo cubre la mitad del riesgo.
¿Se puede hackear el propio código QR para robar cripto?
No en el sentido de explotar una falla en el formato — es un contenedor de texto, y cualquiera puede generar uno con la dirección que elija. El ataque está en lo que se coloca dentro del código, o lo que lo reemplaza: una pegatina sobre un código legítimo, la imagen de un sitio de inversión falso, o una dirección imitadora sustituida en tu portapapeles.
¿Qué es un secuestrador de portapapeles y qué relación tiene con los códigos QR?
Malware que vigila tu portapapeles y sustituye una dirección de criptomoneda copiada por una imitación controlada por el atacante que comparte los mismos primeros y últimos caracteres. Es un riesgo de copiar y pegar, no directamente de escanear QR — pero los dos se combinan cuando escaneas un código, copias la dirección decodificada en una app de monedero, y el secuestrador la cambia en ese instante.
¿Cómo verifico una dirección de monedero después de escanear su código QR?
Compara la dirección completa contra tu fuente de confianza, no solo los extremos — el malware de imitación está diseñado para engañar un vistazo rápido. Envía primero un monto de prueba en una transferencia nueva o de alto valor, y verifica que un código público no sea una pegatina sobre el original.
¿QRDock protege contra códigos QR cripto maliciosos?
Su verificación de seguridad de URL marca enlaces conocidos como maliciosos, lo cual ayuda con códigos que llevan a sitios de phishing o de inversión falsos. No puede verificar que una dirección de monedero decodificada pertenezca a quien crees — esa comprobación es de mejor esfuerzo para enlaces, y la verificación de la dirección sigue dependiendo de ti.
En resumen
El código QR no es la parte vulnerable. Es un contenedor neutral que decodifica exactamente lo que hay dentro, nada más. El riesgo está en lo que se codifica antes de que escanees, o en lo que reemplaza la dirección después de que la copias. Unos segundos extra comparando la dirección completa, cada vez, es toda la defensa.