Estafas con códigos QR: cómo identificarlas y evitar caer en ellas

Las estafas por código QR están en aumento, conozca como no caer en ellas.
Los códigos QR se convirtieron en una herramienta cotidiana para pagar, consultar menús, acceder a información o realizar trámites. Sin embargo, su uso también abrió la puerta a una modalidad de fraude conocida como quishing, en la que delincuentes utilizan códigos alterados para dirigir a las víctimas a sitios falsos y robar información personal o bancaria.
A diferencia de un enlace tradicional, un código QR oculta la dirección web hasta que se escanea, lo que dificulta verificar si el destino es legítimo y facilita el engaño.
Estas son las principales claves para identificar este tipo de estafas y reducir el riesgo de caer en ellas.
¿Por qué aumentan estas estafas?
El crecimiento del quishing responde, principalmente, a que los usuarios no pueden ver la dirección web antes de escanear el código.
Los delincuentes aprovechan esa característica para reemplazar códigos legítimos por otros falsos en restaurantes, parquímetros, estaciones de servicio, comercios y otros lugares donde este sistema de acceso es habitual.
Cuando la persona escanea el código, es dirigida a una página que imita el sitio de un banco, un comercio o una plataforma de pagos. Allí le solicitan datos bancarios, información personal o credenciales de acceso que terminan en manos de los estafadores.
Otra modalidad consiste en enviar correos electrónicos o documentos con códigos QR maliciosos. Al sustituir los enlaces tradicionales por una imagen, los atacantes logran evadir algunos filtros de seguridad y aumentan las probabilidades de que la víctima escanee el código con su teléfono.
Además, el uso cotidiano de los códigos QR hace que muchas personas los escaneen de forma automática, sin verificar previamente su origen.
¿Cómo identificar un código QR sospechoso?
Aunque todos los códigos QR tienen una apariencia similar, existen señales que pueden alertar sobre un posible fraude.
Preste atención si:
- El código parece un adhesivo colocado sobre otro original.
- Está pegado de forma improvisada en postes, paredes, cajeros automáticos u otros espacios públicos sin identificación de la empresa responsable.
- La dirección web que aparece antes de abrir el enlace no coincide exactamente con el sitio oficial.
- El dominio presenta errores ortográficos o variaciones en el nombre de la empresa.
- La página solicita información que normalmente no pediría, como contraseñas, códigos de verificación o los datos completos de una tarjeta bancaria.
¿Cómo evitar caer en la estafa?
La mejor forma de protegerse es verificar el origen del código antes de interactuar con él.
Entre las principales recomendaciones figuran:
- Desactivar la apertura automática de enlaces desde la cámara del teléfono para revisar primero la dirección web.
- Utilizar aplicaciones de escaneo que analicen los enlaces y alerten sobre posibles sitios maliciosos.
- Revisar físicamente el código para comprobar que no haya sido colocado sobre otro.
- Confirmar que el dominio corresponda exactamente al sitio oficial de la empresa o institución.
- Evitar descargar archivos si el código inicia automáticamente una descarga de documentos con extensiones como .apk, .exe o .zip.
- No ingresar contraseñas, datos bancarios ni códigos de seguridad en páginas abiertas mediante un código QR.
- Si debe realizar un pago, hacerlo desde la aplicación oficial del banco o del comercio, en lugar de completar la transacción desde el navegador.
¿Qué hacer si escaneó un código fraudulento?
Si sospecha que escaneó un código QR malicioso, actuar rápidamente puede reducir las consecuencias.
Si no ingresó información, cierre de inmediato la página.
Si proporcionó datos bancarios, comuníquese cuanto antes con su banco para bloquear tarjetas o credenciales y revisar movimientos sospechosos.
También es recomendable cambiar las contraseñas de las cuentas que pudieron verse comprometidas, activar la autenticación en dos pasos cuando esté disponible y ejecutar un análisis de seguridad en el teléfono con un antivirus confiable.
Si el dispositivo descargó algún archivo, elimínelo sin abrirlo y revise las aplicaciones instaladas recientemente para detectar posibles cambios.
Por último, reporte el incidente a la entidad afectada y, si sufrió pérdidas económicas o el robo de información, presente la denuncia ante las autoridades competentes.
