BeValk Logo
estafas

QRishing: La estafa del código QR que arrasa en España

María Aperador

06/02/2026

10 min

QRishing: La estafa del código QR que arrasa en España

Llegas a un restaurante, escanear el QR de la mesa para ver la carta y... sin saberlo, acabas de entrar en una web fraudulenta. Bienvenido al QRishing.

Los códigos QR están en todas partes: restaurantes, transporte público, parkings, carteles publicitarios. Y los ciberdelincuentes lo saben. En esta guía te explico como funciona esta estafa y como protegerte.

Que es el QRishing

El QRishing (QR + phishing) es una técnica de estafa que utiliza códigos QR maliciosos para dirigirte a webs fraudulentas, instalar malware en tu móvil o robar tus datos.

A diferencia de un enlace escrito que puedes leer antes de hacer clic, un código QR es una caja negra: no sabes a dónde te lleva hasta que lo escaneas.

Por que los QR son peligrosos

  1. Invisibilidad: No puedes "leer" un QR a simple vista
  2. Confianza: Nos hemos acostumbrado a escanear sin pensar
  3. Ubicuidad: Estan en lugares legítimos (restaurantes, comercios)
  4. Facilidad de manipulación: Un adhesivo encima del QR original basta
  5. Múltiples vectores: Pueden llevar a webs, descargas, o incluso ejecutar acciones en tu movil

Según datos de la Policía Nacional, las denuncias por QRishing aumentaron un 300% en 2025.

Cómo funcionan las estafas con QR

Tipo 1: QR superpuesto (el más común)

El estafador pega un adhesivo con un QR falso encima del QR legítimo.

Donde ocurre:

  • Mesas de restaurantes
  • Maquinas de parking
  • Paradas de autobús
  • Carteles publicitarios
  • Bicicletas y patinetes de alquiler

Ejemplo real: En Barcelona, se detectaron QR falsos pegados en parquímetros. Al escanear, los usuarios llegaban a una web que imitaba el sistema de pago del ayuntamiento. Introducían su tarjeta para "pagar el parking" y los estafadores vaciaron sus cuentas.

Tipo 2: QR en comunicaciones falsas

Recibes un email, carta o SMS con un QR que debes escanear. Es similar al smishing de Correos y DHL, pero usando códigos QR en lugar de enlaces.

Ejemplo:

"Carta de tu banco: Escanea este QR para actualizar tus datos de seguridad y evitar el bloqueo de tu cuenta."

El QR te lleva a una web de phishing idéntica a la de tu banco.

Tipo 3: QR que instala malware

Al escanear, el QR inicia la descarga de una app maliciosa o ejecuta código en tu navegador.

Cómo funciona:

  1. Escanear el QR
  2. Se abre una web que parece legítima
  3. Te pide instalar una app "necesaria" (carta digital, ticket, etc.)
  4. La app es malware que espía tu móvil

Tipo 4: QR que activa acciones en tu móvil

Los QR pueden contener instrucciones para:

  • Conectarte a una WiFi (potencialmente maliciosa)
  • Llamar a un numero de tarificación especial
  • Enviar un SMS premium
  • Agregar un contacto con datos falsos

Ejemplos reales de QRishing en España

Caso 1: Parkings de Madrid y Barcelona

Adhesivos con QR falsos pegados sobre los QR oficiales de parquímetros. Los usuarios "pagaban" el parking pero el dinero iba a los estafadores. Además, sus datos de tarjeta quedaban comprometidos.

Caso 2: Restaurantes con carta QR

En varios restaurantes de Valencia, aparecieron QR superpuestos en las mesas. Al escanear, los clientes llegaban a una web con "ofertas especiales" que pedia datos de tarjeta para "participar en un sorteo".

Caso 3: Multas de tráfico falsas

Los conductores encontraron "multas" en sus parabrisas con un QR para "pagar con descuento". El QR llevaba a una pasarela de pago fraudulenta.

Caso 4: Patinetes electricos

QR falsos pegados sobre los QR de empresas de alquiler de patinetes. Al escanear, los usuarios descargan una app falsa que robaba credenciales.

Caso 5: Cartas por correo postal

Cartas que imitan comunicaciones oficiales (Hacienda, Seguridad Social, bancos) con un QR para "agilizar el trámite". El QR lleva a webs de phishing.

Cómo escanear códigos QR de forma segura

Paso 1: Inspecciona el QR antes de escanear

Busca señales de manipulación:

  • ¿El QR parece un adhesivo pegado encima?
  • ¿Los bordes están irregulares o levantados?
  • ¿Hay residuos de pegamento?
  • ¿El tamaño o calidad difiere del entorno?

Si algo parece sospechoso, no escanees.

Paso 2: Usa un escáner que muestre la URL

Configura tu móvil para que te muestre la URL antes de abrirla:

En iPhone:

  1. Abre la app Cámara
  2. Apunta al QR
  3. Aparece una notificación con la URL
  4. Lee la URL antes de tocar

En Android:

  1. Abre la app de Cámara o Google Lens
  2. Apunta al QR
  3. La URL aparece en pantalla
  4. Verificarla antes de abrir

Paso 3: Verifica la URL antes de interactuar

Una vez que veas la URL:

  • ¿Es el dominio oficial? (parking.madrid.es vs parking-madrid.es)
  • ¿Tiene HTTPS?
  • ¿Parece coherente con el contexto?

Si no sabes cómo verificar una URL, consulta nuestra guía sobre cómo saber si un enlace es seguro.

Ejemplos:

  • QR de parking Madrid: deberia ser parking.madrid.es o similar
  • QR de restaurante: debería ser el dominio del restaurante o una plataforma conocida
  • QR de multa DGT: la DGT no cobra multas por QR en parabrisas

Paso 4: Nunca introduzcas datos sensibles

Si el QR te lleva a una web que pide:

  • Datos de tarjeta de crédito
  • Credenciales bancarias
  • DNI o datos personales

Para. Cierra. Verifica por otro canal.

Entra directamente en la web oficial (escribiéndola tu) para hacer cualquier gestión.

Paso 5: No descargues apps desde QR

Si un QR te pide descargar una app:

  • Busca la app directamente en App Store o Google Play
  • No instales apps desde enlaces o archivos descargados
  • Desconfía de "apps necesarias" para ver cartas o pagar

Situaciones específicas y como actuar

En restaurantes

  • Verifica el QR con el camarero si te parece sospechoso
  • Comprueba que el dominio coincide con el restaurante
  • No introduzcas datos de pago a través del QR de la carta
  • Pide carta física si tienes dudas

En parkings y parquímetros

  • Busca el QR oficial en la máquina, no en adhesivos
  • Usa la app oficial del ayuntamiento o empresa de parking
  • Paga en la máquina con tarjeta si el QR te parece raro
  • Llama al teléfono oficial del parking si dudas

En transporte público (patinetes, bicis)

  • Usa solo la app oficial descargada desde la store
  • Escanea con la app de la empresa, no con la camara
  • Reporta QR sospechosos a la empresa de alquiler

En cartas y correo postal

  • Nunca escanees QR de cartas que no esperabas
  • Verifica por otro canal: Llama al organismo emisor
  • Entra en la web oficial escribiendo tu mismo

Qué hacer si has escaneado un QR malicioso

Si solo abriste la web (sin hacer nada más)

  1. Cierra la pestaña inmediatamente
  2. Borra historial y cookies del navegador
  3. Ejecuta un análisis antimalware
  4. Vigila movimientos en tus cuentas los próximos dias

Si introdujiste datos personales o de pago

  1. Contacta con tu banco para bloquear la tarjeta
  2. Cambia contraseñas de las cuentas que puedan estar comprometidas
  3. Activa alertas de movimientos en tus cuentas
  4. Denuncia a la Policía Nacional

Si descargaste e instalaste algo

  1. Desinstala la app inmediatamente
  2. Revisa los permisos que concediste
  3. Cambia todas las contraseñas desde otro dispositivo
  4. Considera restaurar el movil a fábrica
  5. Informa a tu banco si la app pudo acceder a apps bancarias

Preguntas frecuentes

¿Es seguro escanear el QR de la carta de un restaurante?

Generalmente sí, pero verifica que:

  • No sea un adhesivo pegado encima
  • El dominio corresponda al restaurante o plataforma conocida
  • No te pida datos de pago ni descargar nada

¿Los QR pueden hackear mi móvil solo con escanearlos?

Es muy raro. La mayoría de ataques requieren que hagas algo más: abrir una web, descargar una app, introducir datos. Pero algunos exploits avanzados podrían aprovecharse de vulnerabilidades del navegador.

¿Qué escáner de QR es más seguro?

El escáner nativo de tu móvil (la app de Cámara en iPhone, Google Lens en Android) es suficiente y seguro. Evita apps de terceros que prometen "escaneo seguro" pero que en realidad pueden ser malware.

¿Si un comercio tiene QR, significa que es seguro?

No necesariamente. El comercio puede ser legítimo pero alguien pudo pegar un QR falso encima sin que se den cuenta. Siempre verifica el QR y la URL.

Protégete con BeValk

BeValk incluye un verificador de QR integrado:

  1. Abre la cámara de BeValk en lugar de la del móvil
  2. Escanea el QR sospechoso
  3. BeValk analiza la URL antes de abrirla
  4. Recibe un veredicto: seguro, sospechoso o peligroso

Nuestro escaner detecta:

  • URLs en listas negras de phishing
  • Dominios que suplantan marcas conocidas
  • Patrones de URLs maliciosas
  • Descargas sospechosas

Descarga para iOS y Android y escanea QR con confianza.

Última actualización: febrero 2026