Quishing: estafas con códigos QR y enlaces en SMS

Recibes un SMS de Correos: "Tu paquete está retenido, escanea el QR para gestionar la entrega". O una multa de tráfico con un código impreso. Escaneas, sigues el enlace y entregas tus datos. Eso es quishing: el fraude metido dentro de un código QR. El cuadrado no parece peligroso, y ahí está la trampa.

¿Qué es exactamente el quishing y en qué se diferencia del smishing?

La palabra "quishing" viene de unir "QR" y "phishing". Es una variante del fraude clásico, pero cambia la pieza que te engaña. En el smishing tradicional recibes un enlace de texto que puedes leer: correos-entrega-pago.net. Aunque esté disfrazado, tienes algo que examinar antes de pulsar.

El quishing borra esa pista. Un código QR es un patrón de cuadros que tu ojo no puede descifrar. No ves la dirección a la que apunta hasta que ya la has abierto. El estafador esconde el destino dentro del dibujo y te pide que confíes en lo que lo rodea: el logo de una empresa, el formato de una carta oficial, la urgencia de un mensaje.

Esa es la clave del ángulo nuevo. El vector no es solo digital. Un QR fraudulento puede llegarte por SMS, sí, pero también pegado en una farola, impreso en una multa falsa bajo el limpiaparabrisas, encima de un parquímetro real o dentro de una carta en tu buzón. El soporte físico añade una capa de credibilidad que un SMS suelto no tiene. Pocos sospechan de un papel con membrete.

Una vez escaneas, el flujo es el mismo que en cualquier phishing: te lleva a una web clonada que imita a tu banco, a Correos, a la DGT o a Hacienda, y te pide datos personales, bancarios o que "verifiques" tu identidad. En algunos casos el enlace intenta descargar una aplicación maliciosa en tu móvil.

¿Por qué los estafadores recurren ahora al código QR?

Porque el QR resuelve dos problemas que tiene el delincuente. Si te interesa el panorama general, lo tratamos en nuestro análisis de tendencias del spam en España.

El primer problema es la desconfianza aprendida. La gente ya ha oído mil veces "no pulses enlaces raros en SMS". Un código QR no parece un enlace. Parece una herramienta moderna, neutra, la misma que usas para pagar o ver la carta de un restaurante. Esa familiaridad baja la guardia.

El segundo problema son los filtros automáticos. Muchos sistemas antispam de operadores y de correo electrónico analizan el texto de un mensaje buscando dominios sospechosos. Un QR es una imagen. El enlace malicioso viaja escondido dentro de un gráfico y muchos filtros no lo leen. Esto cobra más relevancia con la nueva normativa de la CNMC que, a partir del 7 de junio de 2026, obliga a registrar los remitentes alfanuméricos de SMS y RCS, lo que dificultará la suplantación por texto. Cuando se cierra una puerta, los estafadores buscan otra, y el QR es una de esas puertas.

Además, el QR funciona en cualquier sitio sin coste. Imprimir una pegatina es barato. Pegarla encima de un QR legítimo en un parquímetro o en un cartel no levanta sospechas inmediatas. El delincuente no necesita tu número ni romper ningún filtro: le basta con que pases por delante.

¿Dónde te puedes encontrar un QR fraudulento?

No todos los QR maliciosos llegan igual. Conocer el canal te ayuda a calibrar la sospecha. Esta tabla resume los escenarios más habituales y la señal de alarma de cada uno.

El caso de la multa falsa bajo el limpiaparabrisas es el que más confunde, porque mezcla un soporte físico creíble con la autoridad implícita de una sanción. Recuerda: ni la DGT ni los ayuntamientos te cobran multas escaneando un código pegado en el coche. Si quieres aprender a verificar avisos oficiales, te lo explicamos en cómo comprobar una notificación de Hacienda o la Seguridad Social.

¿Cómo escanear un QR sin caer en la trampa?

La regla de oro es sencilla: un QR es solo una forma de abrir un enlace, así que aplícale la misma desconfianza que a cualquier enlace que no esperabas. El soporte cambia, el peligro no.

Sigue estos pasos antes de actuar sobre cualquier QR que no hayas pedido tú:

1. Previsualiza la dirección antes de abrirla. La cámara de la mayoría de móviles muestra la URL completa antes de cargar la página. Léela con calma. No pulses todavía.
2. Comprueba el dominio con cuidado. Mira la parte justo antes del primer /. correos.es/aviso es legítimo; correos.entrega-es.com o correos-pago.net no lo son, aunque empiecen por "correos". Los estafadores juegan con subdominios y guiones para confundirte.
3. Desconfía de acortadores. Si el enlace es un bit.ly o similar, no sabes a dónde apunta. Un organismo oficial no esconde su dirección detrás de un acortador.
4. No introduzcas datos sensibles. Ninguna web a la que llegas por un QR no solicitado debería pedirte contraseñas bancarias, el PIN, códigos de verificación o el número completo de tu tarjeta.
5. No instales nada. Si escanear el QR te ofrece descargar una app fuera de la tienda oficial, cierra. Esa es una señal de fraude casi segura.
6. Verifica por el canal oficial. ¿Dudas de un paquete, una multa o un aviso del banco? Entra tú mismo a la web oficial escribiendo la dirección, o usa la app que ya tienes instalada. Nunca uses el QR que te llegó.

Este principio de "verifica por tu cuenta, no por el canal que te contactó" es el mismo que aplicamos para comprobar si una llamada o SMS de tu banco es real. Cambia la tecnología, pero la defensa es idéntica.

¿Qué hace que el QR fraudulento sea tan eficaz?

Hay un detalle psicológico que conviene entender. Cuando escaneas un QR, das un salto de confianza que no darías con un enlace de texto. Con el texto, lees y juzgas. Con el QR, apuntas la cámara y dejas que el móvil decida por ti. Ese gesto automático es justo lo que el estafador explota.

A esto se suma el contexto. Un QR aislado da menos confianza que uno enmarcado en algo que reconoces: el formato de una multa, los colores de tu banco, el logo de una empresa de paquetería. El delincuente invierte en que ese envoltorio parezca real, porque sabe que el QR solo funciona si el resto te convence.

Y luego está la urgencia, el ingrediente de siempre en cualquier fraude. "Tu paquete se devuelve hoy". "Multa con recargo si no pagas en 48 horas". "Tu cuenta será bloqueada". La prisa apaga el pensamiento crítico. Si notas que un mensaje te empuja a actuar deprisa, ahí tienes la primera señal de que algo no encaja. Lo desarrollamos en cómo leer las señales de riesgo de un número o mensaje.

Conviene tenerlo presente con las personas mayores, que pueden estar menos familiarizadas con cómo funciona un QR y más expuestas a confiar en el soporte físico. Si cuidas de alguien vulnerable, te puede ayudar nuestra guía sobre cómo proteger a personas mayores de estafas telefónicas.

¿Y si ya he escaneado el QR y he dado mis datos?

Que no cunda el pánico, pero actúa rápido. La velocidad importa más que la culpa.

• Si has dado datos bancarios, llama de inmediato a tu banco por el número oficial (el del reverso de tu tarjeta o el de su app, nunca uno que te hayan facilitado en el mensaje). Pide bloquear la tarjeta y vigilar movimientos.
• Si has introducido contraseñas, cámbialas en cuanto puedas, empezando por el correo y la banca. Si reutilizabas esa contraseña en otros sitios, cámbiala también en todos.
• Si has instalado una aplicación, desinstálala y pasa un análisis de seguridad. Ante la duda, acude a un servicio técnico de confianza.
• Reúne pruebas. Guarda el SMS, fotografía la carta o la multa falsa y anota la web a la que te llevó el QR. Te servirán para denunciar.
• Denuncia. Puedes contactar con el INCIBE en el 017 (o el 900 116 117), también por WhatsApp y Telegram, todos los días de 8:00 a 23:00 y de forma gratuita. Y presenta denuncia ante la Policía Nacional o la Guardia Civil.

Tienes el plan completo, paso a paso, en nuestra guía sobre qué hacer tras dar tus datos, dentro de la sección de guías de NoCall.

El cuadrado no es inocente

El quishing no inventa una estafa nueva: recicla el phishing de siempre y le pone un disfraz moderno. El QR no es bueno ni malo, es solo un canal. El problema aparece cuando dejas que ese canal te quite el paso de pensar.

Quédate con esto: trata cada código QR no solicitado como tratarías a un desconocido que te para por la calle y te pide la cartera "para verificar un dato". Por muy convincente que sea su uniforme, primero compruebas. Previsualiza la URL, desconfía de la prisa y verifica siempre por el canal oficial que ya conoces.

La comunidad es nuestra mejor defensa. Si has recibido un SMS sospechoso con un QR o un número que huele a fraude, búscalo y repórtalo en el directorio de números spam de NoCall. Cada reporte ayuda a que el siguiente no caiga. Y si quieres entender mejor el ecosistema, échale un vistazo a las tendencias actuales y a los prefijos más reportados.