Sí — escanear un código QR con la cámara integrada de tu teléfono es seguro. El riesgo está en la URL que el código abre, no en el acto de escanear. Un código escaneado puede llevarte a un sitio de phishing igual que un enlace pulsado. Ese es todo el modelo de amenaza. La buena noticia: cualquier teléfono moderno previsualiza la URL de destino antes de abrirla, así que dos segundos de atención frenan casi cualquier estafa con QR del mundo real.
Si te interesa el lado de la codificación — qué hay realmente dentro de ese cuadro en blanco y negro — tenemos un artículo aparte sobre cómo funcionan los códigos QR. Este trata la cuestión de seguridad.
¿Son peligrosos los códigos QR en sí mismos?
Un código QR es solo una codificación. La cuadrícula de módulos blancos y negros se traduce a una cadena de texto, normalmente una URL pero a veces una credencial Wi-Fi o una vCard. Los bytes en sí no pueden ejecutar nada en tu teléfono. Lo que importa es lo que tu teléfono hace con la cadena decodificada.
Para los códigos URL, ese es el mismo modelo de riesgo que un enlace pulsado. El destino podría ser un sitio real, una página de inicio de sesión falsificada o una descarga de malware. El planteamiento de la Federal Trade Commission lo resume bien: los estafadores ocultan enlaces dañinos en códigos QR para robarte información personal, así que la defensa es la misma que para cualquier enlace no solicitado — verifica el destino antes de comprometerte. La cámara de iOS y Google Lens previsualizan la URL antes de abrirla, y esa previsualización es la defensa más eficaz que tienes. QRDock hace la misma previsualización y, además, contrasta el destino con listas de dominios maliciosos conocidos antes de navegar. Es un esfuerzo de mejor intención, no una garantía, pero sí una capa adicional útil.
Qué es el quishing — y por qué funciona
El quishing es phishing por código QR. El nombre es una mezcla de "QR" y "phishing", y describe los ataques en los que la URL maliciosa se entrega dentro de un código QR en vez de un enlace pulsable.
A los atacantes les gusta el quishing por una razón mecánica: la mayoría de las pasarelas de correo seguras y los escáneres de enlaces de SMS no aplican OCR a las imágenes para extraer URLs. El enlace malicioso nunca aparece como texto plano, así que se cuela por filtros que sí habrían cazado la misma URL escrita en el cuerpo del mensaje. Los investigadores han documentado campañas empresariales en las que el ataque de phishing burló por completo la seguridad corporativa de correo porque la URL solo existía dentro de una imagen de código QR. En cuanto escaneas con un teléfono personal, el clic ya no está en el portátil gestionado por la empresa y deja de ser visible para la pila de seguridad.
Lo que aparece tras el escaneo suele ser una de tres cosas. Lo más habitual es una página de inicio de sesión falsificada — Microsoft 365, Google, tu banco — que captura todo lo que escribas. La segunda es un aviso para instalar una app fuera del App Store o Play Store. La tercera, señalada en la guía de CISA sobre códigos QR maliciosos, es un flujo de "vinculación de dispositivo" en WhatsApp o Telegram que entrega a un atacante el control de tu cuenta de mensajería.
Estafas con pegatinas en el mundo real
La mayor categoría de estafas con QR no llega por correo — es una pegatina colocada sobre un código QR real en una superficie del mundo real.
Parquímetros y multas. Ciudades de Estados Unidos, Reino Unido y Australia han alertado a sus residentes sobre pegatinas colocadas encima de los códigos QR legítimos de los parquímetros. El código falso desvía el pago a la infraestructura del atacante. También hay una variante por SMS que se mueve rápido: el FBI y varias DMV estatales han marcado una oleada de avisos de "Notice of Default" que usan un código QR incrustado para presionar a los destinatarios a pagar una multa de tráfico falsa de unos pocos dólares mientras les roban los datos completos de la tarjeta.
Cartas de restaurantes y carteles de encuestas. Una mujer de 60 años en Singapur perdió alrededor de 20.000 dólares tras escanear una pegatina en la puerta de una tienda de bubble tea que prometía una bebida gratis por completar una encuesta. El QR la llevó a instalar una app de terceros y la app vació su cuenta bancaria (BleepingComputer). Mismo patrón, otra superficie.
Paquetes inesperados. En una alerta de enero de 2025, la FTC describió una variante del fraude conocido como brushing: llega un paquete inesperado con una nota que pide escanear un código QR para averiguar quién lo envió o conseguir instrucciones de devolución. El destino es una página que roba credenciales o una descarga de malware.
El mecanismo es siempre el mismo. Aprovecha una superficie del mundo real en la que la gente ya confía y no necesitas burlar el filtro de correo de nadie.
Cómo previsualizar la URL de un código QR antes de abrirla
iPhone. Abre la cámara, apunta al código y espera al banner amarillo con la URL en la parte inferior del encuadre. Lee el dominio antes de tocar.
Android. Usa la cámara o Google Lens — ambos previsualizan la URL y la pasan por Safe Browsing para detectar dominios marcados como phishing antes de navegar.
Evita los escáneres de terceros. La mayoría de las apps escáner de QR de terceros añaden seguimiento, muestran anuncios o ambas cosas. El escáner del sistema operativo es suficiente para el uso normal, y un escáner pequeño y específico como QRDock funciona sin nada de eso.
Cinco señales de alerta en una URL de destino
Cuando leas la URL previsualizada, busca estas señales:
- Errores ortográficos o sustitución de caracteres —
microsft.com,paypa1.com,rnen vez dem,0en lugar deO. - TLDs poco habituales —
.zip,.top,.mov,.clickse utilizan mucho en abusos; los comercios y servicios municipales legítimos casi nunca los usan. - Un acortador de enlaces —
bit.ly,tinyurlo un acortador propio — que oculta el destino real. - Un aviso para instalar una app desde fuera del App Store o Play Store.
- Lenguaje de presión adjunto a la URL o al mensaje que la rodea — "paga antes de medianoche", "tu cuenta será bloqueada", un importe pequeño diseñado para que lo apruebes sin pensar.
Cualquiera de estas señales basta para cerrar la previsualización e ir tú mismo al servicio.
Qué hacer si ya escaneaste un QR malicioso
¿Solo previsualizaste la URL y no la abriste? Estás bien. Sigue adelante.
¿Abriste la página pero no introdujiste nada? Cierra la pestaña y borra la caché del navegador. La mayoría de las páginas de quishing son recolectores de credenciales, no malware drive-by, así que no hay acción adicional necesaria.
¿Introdujiste un usuario y contraseña? Cambia esa contraseña ahora mismo en el sitio real, activa la autenticación en dos pasos (preferiblemente una passkey o una app de autenticación, no SMS) y revisa los inicios de sesión recientes de la cuenta afectada por si hay algo que no reconozcas.
¿Introdujiste datos de tarjeta o cuenta bancaria? Llama al emisor de la tarjeta para disputar cualquier cargo, considera congelar tu crédito en los tres burós de Estados Unidos y presenta una denuncia en IdentityTheft.gov. La FTC tiene una guía paso a paso para este escenario exacto.
Preguntas frecuentes
¿Es seguro escanear un código QR con la cámara de mi teléfono?
Escanear con la cámara integrada de iOS o con Google Lens es seguro por sí mismo — ambas apps previsualizan la URL de destino antes de abrirla y avisan sobre dominios de phishing conocidos. El riesgo está en lo que hagas después de la previsualización. Si la URL se ve poco familiar, mal escrita, o pide credenciales o un pago, cierra la previsualización y entra al servicio por tu cuenta.
¿Qué es el quishing?
El quishing es phishing por código QR — una mezcla de "QR" y "phishing". Los atacantes incrustan una URL maliciosa dentro de un código QR (a menudo como imagen en un correo, una pegatina sobre una superficie física o un código en un SMS) para que el enlace burle los filtros que analizan las URLs en texto plano. El destino suele ser una página de inicio de sesión falsificada o un aviso para instalar una app fuera de tienda diseñado para robar credenciales o dinero.
¿Cómo sé si un código QR de un parquímetro o un menú es falso?
Mira primero la superficie física. Un QR fraudulento es casi siempre una pegatina superpuesta al original — fíjate en un borde de papel ligeramente distinto, una textura diferente o una pegatina nueva sobre un cartel desgastado. Después previsualiza la URL antes de abrir: la URL legítima de una ciudad o un restaurante no será un acortador, no usará TLDs poco habituales como .zip o .top, y no te pedirá instalar una app fuera del App Store o Play Store.
Ya escaneé un código QR sospechoso — ¿qué debo hacer?
Si solo previsualizaste la URL y no la abriste, estás bien. Si abriste la página pero no introdujiste nada, cierra la pestaña y borra la caché del navegador. Si introdujiste credenciales, cambia esa contraseña enseguida, activa la autenticación en dos pasos (preferiblemente una passkey) y vigila los movimientos de tu tarjeta y banco por si hay cargos que no reconozcas. Si entregaste datos de tarjeta o cuenta bancaria, contacta al emisor de la tarjeta para disputar el cargo y considera congelar tu crédito.
¿QRDock me protege de los códigos QR maliciosos?
QRDock previsualiza la URL antes de abrirla, igual que la cámara de iOS, y además contrasta el destino con listas de dominios maliciosos conocidos antes de navegar — así que si el QR apunta a un host de phishing marcado, ves un aviso en lugar de la página. La comprobación es de mejor intención, no una garantía. QRDock no te rastrea ni muestra anuncios, así que la previsualización es la función completa, no un gancho para venderte una suscripción.
La conclusión
Los códigos QR no son la amenaza — los destinos sin verificar lo son. Dos segundos de previsualización de URL frenan casi cualquier ataque de quishing. Quédate con el escáner del sistema operativo o con QRDock, lee la URL antes de tocar y trata cualquier QR que exija un pago, credenciales o instalar una app fuera de tienda con la misma sospecha que le darías a un enlace no solicitado por correo.