Ciberseguridad

20/11/2025

QRshing: una nueva amenaza oculta en los códigos QR

Los códigos QR se han convertido en parte de nuestra día a día: desde la carta digital de un restaurante hasta el acceso a apps, promociones, entrada a eventos o descargar información.

🎯 ¡Te hemos cazado! Pero tranquilo, es por tu bien digital

Si estás leyendo esto, es porque has escaneado un QR. Y eso, en el mundo del QRshing, ya es un acto de valentía (o de confianza a ciegas). Pero no te preocupes: este QR es legítimo, seguro y diseñado para que salgas de aquí con algo mucho más valioso que un enlace… información útil para que no te la cuelen en el próximo escaneo.

🕵️‍♀️ ¿Por qué deberías preocuparte?

QRshing: una nueva amenaza oculta en los códigos QR

Los códigos QR se han convertido en parte de nuestra día a día: desde la carta digital de un restaurante hasta el acceso a apps, promociones, entrada a eventos o descargar información. Su ubicuidad los ha convertido en el nuevo disfraz favorito de los ciberdelincuentes.

Pero aquí viene lo interesante: si has escaneado este QR, ya estás demostrando que eres parte del 99% de usuarios que lo hacen sin pensarlo dos veces. Y eso es justo lo que los ciberdelincuentes esperan.

QRshing

¿Qué es el QRshing?

El QRshing es una variante del phishing que utiliza los códigos QR como gancho. De ahí viene su nombre. Es la versión moderna del “haz clic aquí” que ahora se esconde en carteles, menús, promociones, apps e incluso en la máquina de café. Al escanear un QR malicioso, puedes ser redirigido a una web falsa que imita a una legítima o incluso descargar malware sin darte cuenta.

 

¿Por qué es peligroso?

Cuando escaneas un QR, estás abriendo una puerta sin saber qué hay detrás hasta que ya has accedido. Es como hacer clic en un enlace y los delincuentes utilizan esta técnica para:

• Instalar malware en tu dispositivo.

• Redirigirte a páginas falsas que simulan ser bancos, tiendas online o servicios de confianza, con la finalidad de robar tus datos personales o financieros.

• Suplantar Entidades legítimas, para obtener credenciales de acceso.

¿Cómo evitar caer en la trampa del QRshing

Para mantenerte seguro, aquí va tu kit de buenas prácticas para supervivencia digital:

1. Verifica el origen y finalidad del QR antes de escanear: ¿Dónde estás? ¿Quién lo puso ahí? ¿Tiene pinta de haber sido pegado encima de otro? Si está en un entorno confiable (como la carta de un restaurante), es más seguro que uno en un cartel público.

2. Desactiva la función de abrir automáticamente los URLs al escanear el QR: Que el control lo tengas tú.

3. Observa la URL: ¿Pertenece al dominio oficial del producto o servicio? ¿Tiene pinta rara?

4. Revisa que no haya pegatinas sobre el QR original para evitar escanear códigos manipulados.

5. No des tus datos personales ni bancarios por amor al arte sin primero garantizar la autenticidad del sitio: analiza los enlaces con herramientas confiables antes de acceder.

6. Extrema las precauciones con las URL acortada o sospechosa: No todas son maliciosas, pero sí todas merecen tu atención.

7. Mantén tus sistemas de seguridad activos y actualizados: este será tu escudo digital -> Antivirus, apps oficiales, y nada de instalar archivos raros (.apk, .exe, etc.).

8. Evita descargar archivos sospechosos (.apk, etc.): sólo descargar apps desde fuentes oficiales como Play Store de Android o la App Store de iPhone.

 

¿Y si tienes dudas?

La prevención está en tus manos y es la mejor defensa

El QRshing es un recordatorio de que la ciberseguridad comienza en nuestros hábitos digitales.

Los códigos QR son útiles y prácticos, pero también requieren ciberhigiene digital. Así que, ante cualquier sospecha o duda, no lo dejes pasar, y consulta directamente con tu equipo de: Seguridad Corporativa o Resiliencia. Ellos están para ayudarte, validar enlaces, analizar riesgos y protegerte.

 

🚀 La ciberseguridad empieza contigo

Ahora que sabes lo que es el QRshing, puedes presumir de ser parte del club de los escaneadores conscientes.

Comparte esta información y conviértete en un embajador de la ciberseguridad.

En Redsys, seguimos trabajando para fomentar que la innovación y la seguridad vayan siempre de la mano. Porque cada escaneo cuenta, y cada usuario informado es un paso más hacia un entorno digital más seguro.