Cómo detectar un código QR falso (evitar el qrishing)
Para detectar un código QR falso, la regla de oro es no fiarte del código en sí, sino del enlace que esconde: antes de abrir nada, lee la URL completa, comprueba que el dominio es el que esperas y desconfía de cualquier código inesperado que te pida iniciar sesión o pagar. El qrishing (phishing a través de códigos QR) se ha vuelto habitual, y el INCIBE lleva tiempo advirtiendo de ello. La buena noticia es que con unos hábitos sencillos es fácil protegerte.
Qué es el qrishing y por qué funciona
El qrishing es una estafa que usa códigos QR para llevarte a una web fraudulenta o hacerte descargar algo malicioso. Funciona tan bien por una razón: un código QR es ilegible para una persona. No puedes “leer” a simple vista adónde lleva, así que escaneas a ciegas y confías en que el código sea legítimo.
Los estafadores aprovechan esa confianza para imitar webs de bancos, multas de aparcamiento, sorteos, menús o terminales de pago, y robarte credenciales o datos de tarjeta.
Las trampas más habituales
Conviene conocer cómo operan para reconocerlas:
- Pegatinas falsas encima de códigos reales. En parquímetros, carteles, mesas de restaurante o paradas de recarga, el estafador pega su QR sobre el auténtico. El soporte parece oficial, pero el destino es suyo.
- Dominios parecidos. El enlace imita el real cambiando una letra, añadiendo palabras o usando otra extensión:
tu-banco-seguro.comen lugar del dominio oficial. - Acortadores de enlaces. Una URL corta oculta el destino final, así que no sabes adónde vas hasta que ya estás dentro.
- Códigos en mensajes y correos inesperados. Un QR en un email de “tu paquete está retenido” o “verifica tu cuenta” suele ser el mismo phishing de siempre, solo que en imagen.
- Pretexto de urgencia. “Tu cuenta se bloqueará”, “multa pendiente”, “premio que caduca hoy”: la prisa busca que escanees y actúes sin pensar.
Cómo comprobar un código QR antes de abrirlo
Estos pasos te llevan segundos y cortan la mayoría de las estafas:
- Lee la URL completa antes de abrirla. Un buen lector te muestra el enlace primero, en lugar de abrir la web automáticamente.
- Mira bien el dominio. Fíjate en la parte principal de la dirección (justo antes del primer
/). ¿Es exactamente el dominio que esperas? Cuidado con erratas y subdominios engañosos. - Sospecha de los acortadores. Si el enlace está acortado y no esperabas un código, no lo abras.
- No introduzcas contraseñas ni datos de pago en una página a la que has llegado por un QR inesperado. Si tienes que entrar en tu banco, abre tú la app o teclea la dirección a mano.
- Revisa el soporte físico. Si ves una pegatina mal puesta, despegada o encima de otro código, no la escanees.
- Ante la duda, no abras. Ninguna gestión legítima depende de que escanees un QR concreto en ese instante.
QR Toolkit te muestra el enlace antes de abrirlo, para que puedas leer el dominio completo y decidir con calma si quieres continuar. La decodificación se hace en tu propio dispositivo.
Señales de alerta en el enlace
Cuando ya ves la URL, estas pistas te ayudan a calibrar el riesgo:
| Señal | Por qué desconfiar |
|---|---|
| Dominio con erratas o palabras de más | Imita una marca conocida |
| Enlace acortado e inesperado | Oculta el destino real |
| Petición de login o pago no solicitada | Patrón clásico de phishing |
| Extensión rara o muchos subdominios | Intenta colar un dominio falso |
| Tono de urgencia o amenaza | Te empuja a actuar sin pensar |
Qué hacer si crees que has caído
Si has escaneado un código sospechoso y has llegado a una web dudosa:
- No introduzcas ningún dato y cierra la página.
- Si ya pusiste credenciales, cambia esa contraseña de inmediato (y en cualquier otro sitio donde la repitas).
- Si compartiste datos de tarjeta, avisa a tu banco para que la bloquee o vigile movimientos.
- Si pasó en un lugar público, avisa al responsable del sitio: puede haber una pegatina falsa que otros también escanearán.
En conclusión
Un código QR no es ni más ni menos seguro que el enlace que contiene. La clave para no caer en el qrishing es ganar el reflejo de leer la URL antes de abrir, comprobar el dominio y no meter nunca contraseñas ni datos de pago desde códigos que no esperabas. Con un lector que te enseñe el enlace primero, como QR Toolkit, tienes el control en tus manos: tú decides si abrir o no.
Preguntas frecuentes
¿Cómo sé si un código QR es falso?
No puedes saberlo mirando el código, porque es ilegible para una persona. Lo que sí puedes hacer es escanearlo con un lector que muestre el enlace antes de abrirlo, leer la URL completa y comprobar que el dominio es el que esperas. Desconfía de pegatinas mal puestas, enlaces acortados inesperados y peticiones de login o pago.
¿Es peligroso escanear un código QR?
Escanear en sí no suele ser peligroso: el riesgo aparece al abrir el enlace e interactuar con la web de destino. Por eso es tan importante revisar la URL antes de continuar y no introducir datos sensibles en páginas a las que has llegado por un código inesperado.
¿QR Toolkit me protege del qrishing?
QR Toolkit te muestra el enlace antes de abrirlo, decodificando el código en tu propio dispositivo, para que puedas leer el dominio completo y decidir con calma. No es un antivirus ni puede garantizar que una web sea segura, pero te da la información clave para detectar la trampa antes de caer.