El término “QRishing” se refiere al phishing aplicado a códigos QR
Qué hacer tras sufrir una estafa digital
En la jungla digital, los códigos QR ya no solo sirven para ver un menú o seguir un enlace rápido. Ha aparecido una nueva modalidad de fraude cada vez más extendida: los QR “invertidos” o modificados para que, al escanearlos, creas que te van a pagar, pero en realidad estás autorizando un pago desde tu cuenta hacia ellos. Lo llaman “QR inverso” o “quishing inverso”.
¿Qué es el “QR inverso” o estafa de QR malicioso?
El término “QRishing” se refiere al phishing aplicado a códigos QR, con códigos manipulados que dirigen a sitios falsos o solicitan datos personales tras un escaneo.
En su forma más agresiva, esa técnica se vuelve “inversa”. Es decir, en lugar de escanear un código para pagar al comerciante (o acceder a menú, mapa, etc.), escaneas algo con la idea de recibir algo, y aceptas un pago que sale de tu cartera digital o cuenta bancaria. En resumen: el impostor invierte tu expectativa de recibir dinero para que tú pagues. La explicación técnica suele ser que el impostor genera un QR que lleva a un enlace donde el usuario autoriza un pago, en vez de recibirlo. Así, al escanear “para recibir”, en realidad se desencadena una transacción en sentido contrario.
Se ha visto este tipo de estafas en parquímetros, ya que la Policía Nacional ha advertido que delincuentes colocan pegatinas con códigos QR falsos sobre los originales en parquímetros, desviando a usuarios a páginas web fraudulentas que imitan las oficiales. Quienes escanean pueden suministrar datos bancarios o creer que ya pagaron correctamente, cuando no es así. Si no perciben que no pagaron, pueden además enfrentarse a sanciones por impago del estacionamiento regulado, para más sorna.
Otra modalidad es el envío de paquetes no solicitados que contienen un código QR dentro. En EE. UU., la FTC alertó que esos QR pueden llevar a sitios de phishing que roban datos personales o instalan malware. Hay estafadores que ya usan este método adaptado a mercados en español, con paquetes que incluyen QR engañosos que solicitan escaneo prometiendo datos del remitente o instrucciones.
Un ejemplo particularmente ilustrativo proviene de la India. Allí, los estafadores envían QR al vendedor con la excusa de “verificar la recepción del pago”. Al escanearlo, la víctima autoriza una operación de pago hacia el estafador. Así, en lugar de enviar dinero al vendedor, se lo envía al estafador.
Al final es un timo que se aprovecha de la costumbre de escanear y la confianza en que “un QR que te piden escanear” es para recibir algo, no para pagar.
Cómo protegerte de esta estafa del QR inverso
En la actualidad puede parecer imposible esquivar con éxito los continuos y múltiples intentos de timo que nos llegan por distintas vías. Por eso, es importante conocer cómo debemos actuar en cada uno de los casos. Para el QR inverso, las precauciones que debemos aplicar a nuestro día a día serían las siguientes:
- No escanees QR para recibir dinero: si alguien te pide que escanees algo para recibir un pago, es señal de alarma.
- Verifica la URL antes de autorizar: tras escanear el QR, observa la dirección web. Debe parecer legítima (dominio correcto, “https”, sin caracteres extraños).
- Evita QR enviados por desconocidos: si recibes un QR vía WhatsApp, correo o mensaje no solicitado, abstente de escanear sin verificar previamente.
- Comprueba física y visualmente el QR: si ves que un código está pegado encima de otro o el QR parece añadido, podría ser falso.
- Usa apps seguras que muestran el enlace antes de abrirlo: muchos lectores de QR permiten previsualizar a dónde te llevan antes de entrar.
- No introduzcas datos bancarios en sitios sospechosos: si te piden tarjeta, clave o datos, detente y abandona la página.
- Mantén tu software actualizado y antivirus activo para que un enlace malicioso no infecte tu dispositivo.
El “QR inverso” es un fraude de lo más sofisticado que intenta jugar con tus expectativas y aprovecha la naturalidad con la que usamos los códigos QR hoy en día. No se trata tan solo de poner a tu alcance, y de manera inadvertida, “un link malicioso más”, sino de engañarte para que tú autorices un pago, que puede llegar a ser de una cuantía elevada. Por eso, cuando alguien te dice “escanea para cobrar”, piénsatelo dos veces. La aplicación de escaneo de QR de tu móvil no debe ser la puerta de entrada para que los amigos de lo ajeno te puedan vaciar la cartera, o la cuenta bancaria.