Saltar al contenido
Hardmaniacos

Cuidado con los códigos QR maliciosos este verano: así pueden usarlos para robar tus datos

13/07/2026
Alerta de enlace sospechoso al escanear un código QR en una terraza de verano
Los códigos QR forman parte del día a día, especialmente en verano. Los usamos para consultar la carta de un restaurante, acceder a una reserva, entrar en un museo, validar una entrada, conectarnos a un servicio o abrir información desde el móvil en apenas unos segundos.

Esa comodidad también tiene una parte negativa: cada vez son más interesantes para los ciberdelincuentes. Al escanear un QR, muchas veces no vemos claramente la dirección a la que nos va a llevar, y eso permite que se utilicen como puerta de entrada a páginas falsas, robos de credenciales o campañas de phishing.

Ahora, además, se ha detectado una técnica especialmente llamativa: la creación de códigos QR maliciosos usando caracteres de texto, en lugar de imágenes tradicionales. Esto puede ayudar a que algunos sistemas de seguridad no los identifiquen correctamente, sobre todo en correos electrónicos o mensajes donde el QR parece formar parte del propio texto.

persona escaneando un QR en una terraza o restaurante

Índice

Por qué hay que tener cuidado con los códigos QR en verano

Durante los meses de verano aumenta mucho el uso de códigos QR. Es habitual encontrarlos en restaurantes, hoteles, alojamientos turísticos, aeropuertos, festivales, museos, servicios de alquiler de vehículos o entradas digitales.

El problema no está en el código QR en sí, sino en la confianza con la que lo usamos. Muchas veces lo escaneamos deprisa, desde el móvil, en una terraza, en un viaje o en mitad de una gestión rápida. En ese contexto es más fácil no revisar bien la dirección web que se abre o no fijarse en si la página parece legítima.

Un QR manipulado puede llevarnos a una web que imita a un servicio real, a una falsa pantalla de inicio de sesión o a una página que intenta que descarguemos un archivo. Si el usuario introduce sus datos pensando que está en una web oficial, el ataque ya habrá funcionado.

La nueva técnica: códigos QR creados con texto

La técnica detectada consiste en crear códigos QR usando caracteres de texto, en lugar de una imagen convencional. Es una idea que recuerda a los antiguos gráficos ASCII, donde se formaban dibujos mediante letras, números y símbolos.

Aplicado al phishing, este método tiene un objetivo claro: dificultar la detección automática. Algunos sistemas de seguridad están preparados para analizar imágenes, enlaces o adjuntos sospechosos, pero pueden tener más problemas si el QR está construido como una composición de texto.

En la práctica, el usuario puede encontrarse con un código aparentemente escaneable dentro de un correo electrónico, un documento o un mensaje. Si lo escanea, puede acabar en una página fraudulenta diseñada para robar credenciales, datos personales o información de acceso a una cuenta.

QR construido con caracteres de texto

Cómo puede usarse un QR para hacer phishing

Una campaña de phishing mediante QR suele apoyarse en una excusa aparentemente normal. Por ejemplo, un documento pendiente de firma, una factura, una reserva, una entrega, una notificación urgente o un supuesto acceso seguro desde el móvil.

El mensaje pide al usuario que escanee el código para continuar. Al hacerlo, se abre una web que puede parecer legítima, pero que en realidad está diseñada para recoger datos de acceso. Esto es especialmente peligroso cuando se piden credenciales de correo, cuentas corporativas, servicios bancarios o plataformas de trabajo.

Lo más importante es entender que el QR no es más que el vehículo. El ataque real está en la web a la que redirige y en la información que el usuario entrega después de escanearlo.

Señales de alerta antes de escanear un código QR

Aunque no siempre es fácil detectar un QR fraudulento a simple vista, hay varias señales que deberían hacernos desconfiar:

  • El código QR llega en un correo o mensaje que no esperabas.
  • El mensaje intenta generar urgencia o miedo a perder el acceso a una cuenta.
  • Se pide iniciar sesión después de escanear el código.
  • La dirección web que se abre no coincide con la página oficial del servicio.
  • El QR aparece pegado encima de otro cartel o etiqueta física.
  • La página solicita datos bancarios, contraseñas o códigos de verificación.
  • El código tiene un aspecto extraño, por ejemplo formado con caracteres de texto.

Si aparece cualquiera de estas señales, lo más seguro es no continuar. En caso de duda, es mejor abrir manualmente la web oficial desde el navegador, sin usar el QR.

Qué hacer para evitar caer en una estafa con QR

La mejor protección es dedicar unos segundos a revisar lo que estamos abriendo. Muchos móviles muestran la dirección antes de acceder a la página, y ese pequeño detalle puede evitar un problema importante.

Si el QR procede de un correo inesperado, de un mensaje con urgencia o de una supuesta empresa que pide iniciar sesión, conviene desconfiar. Ningún servicio serio debería obligarnos a introducir credenciales sensibles desde un QR recibido sin previo aviso.

También es recomendable mantener actualizado el navegador y el sistema operativo del móvil, usar autenticación en dos pasos en las cuentas importantes y evitar descargar archivos desde códigos QR que no sepamos de dónde salen.

móvil mostrando advertencia de enlace sospechoso

Qué hacer si ya has escaneado un QR sospechoso

Escanear un QR sospechoso no significa necesariamente que el móvil esté infectado. El problema suele aparecer cuando, después de escanearlo, introducimos datos, descargamos archivos o aceptamos permisos.

Si crees que has caído en una página fraudulenta, conviene actuar rápido:

  • Cierra la página si parece falsa o no coincide con el servicio oficial.
  • No introduzcas contraseñas, datos bancarios ni códigos de verificación.
  • Si ya has escrito una contraseña, cámbiala cuanto antes desde la web oficial.
  • Activa la verificación en dos pasos si todavía no la tenías activada.
  • Revisa accesos recientes y movimientos bancarios si has facilitado información sensible.
  • Analiza el dispositivo si has descargado algún archivo desde esa página.

En cuentas importantes, como correo electrónico, banca online o servicios de trabajo, es mejor no esperar. Cambiar la contraseña a tiempo puede evitar que el atacante mantenga el acceso.

Los códigos QR son útiles, pero no hay que escanearlos sin pensar

Los QR no son inseguros por naturaleza. De hecho, son una herramienta muy cómoda para acceder rápidamente a información desde el móvil. El problema llega cuando se usan para ocultar enlaces fraudulentos o para llevar al usuario a páginas falsas.

Este verano, conviene prestar especial atención a cualquier QR que pida iniciar sesión, descargar documentos o introducir datos personales. Si el código llega por correo, mensaje o aparece en un sitio que no genera confianza, lo más prudente es no escanearlo o comprobar antes la dirección real.

Con unos segundos de revisión se puede evitar una estafa, especialmente en una época en la que usamos más el móvil fuera de casa y tendemos a confiar más en este tipo de accesos rápidos.

Preguntas frecuentes sobre códigos QR maliciosos

¿Un código QR puede ser peligroso?

Sí. Un código QR puede llevar a una página fraudulenta, iniciar una descarga peligrosa o redirigir al usuario a una web diseñada para robar credenciales.

¿Escanear un QR infecta el móvil automáticamente?

Normalmente no. El mayor riesgo aparece si después de escanearlo introduces datos, descargas archivos o aceptas permisos sospechosos.

¿Cómo puedo saber si un QR es falso?

Conviene revisar la URL antes de abrirla, desconfiar de mensajes urgentes y evitar introducir contraseñas o datos bancarios en páginas abiertas desde QR desconocidos.

¿Es seguro escanear códigos QR en restaurantes?

Puede ser seguro, pero conviene comprobar que el QR pertenece realmente al establecimiento y que no hay pegatinas superpuestas o enlaces extraños al abrir la página.

¿Qué hago si he metido mi contraseña en una web abierta desde un QR sospechoso?

Cambia la contraseña cuanto antes desde la web oficial del servicio. Si usabas esa misma clave en otros sitios, cámbiala también allí y activa la autenticación en dos pasos.

¿Qué significa que un QR esté hecho con caracteres de texto?

Significa que el código está construido mediante letras, números o símbolos, en lugar de una imagen tradicional. Esta técnica puede usarse para intentar esquivar algunos sistemas de detección automática.