GuiaNacho G.8 min de lectura

¿Pueden Hackearse los Códigos QR?

¿Pueden ser hackeados los códigos QR? El código en sí no, pero los ataques de quishing te engañan tras escanearlo. Amenazas reales y protección.

¿Pueden Hackearse los Códigos QR?

Este articulo fue escrito por el equipo de QR Nova. Desarrollamos software de codigos QR, lo que puede influir en nuestra perspectiva.

La mayoría de artículos de seguridad sobre códigos QR dicen "son completamente seguros" o se enredan en advertencias vagas sobre "códigos maliciosos" sin explicar cómo funciona realmente nada de ello. Ninguno es útil para la persona que acaba de recibir un código QR en un email inesperado y quiere una respuesta real. Esto es lo que realmente importa. La imagen de un código QR no puede ser hackeada, es simplemente un patrón impreso. Lo que sí puede ser hackeado es a dónde te envía ese patrón, y la mecánica del phishing basado en QR (llamado quishing) se ha sofisticado lo suficiente como para que en 2025, el FBI advirtiera formalmente a las empresas sobre el uso de códigos QR para evadir filtros de seguridad de email corporativo.

TL;DR

  • El código QR en sí no puede ser "hackeado", no tiene código ejecutable, ni componente activo.
  • El ataque real es el quishing: un código QR malicioso que te dirige a una página de phishing o descarga de malware.
  • La manipulación física, pegatinas falsas sobre códigos QR reales, está documentada en el mundo real (parquímetros, mesas de restaurante).
  • Buena práctica: previsualiza siempre la URL de destino antes de proceder, y escanea solo códigos que puedas rastrear hasta una fuente de confianza.

¿Pueden ser hackeados los códigos QR?

Generate your first QR code — free

Empezar

Un código QR es un patrón de módulos blancos y negros dispuestos en una cuadrícula cuadrada, que codifica datos usando el estándar ISO/IEC 18004. Cuando tu cámara lo escanea, el teléfono lee ese patrón ópticamente, de la misma forma que leería un código de barras. No hay ejecución de código, ni transmisión de datos, ni petición de red en el momento del escaneo. La imagen del código QR en sí no puede ser hackeada, infectada ni utilizada como arma.

Lo que sí puede manipularse es el contenido codificado en el patrón. Un código QR que codifica https://tubanco.com tiene un aspecto idéntico en tamaño y estructura a uno que codifica https://tub4nco-login.com. El ojo humano no puede distinguirlos mirando el patrón de píxeles. La superficie de ataque no es el código QR, es la URL que contiene.

Esta distinción importa porque cambia contra qué te proteges realmente. No te estás protegiendo contra que el código QR haga algo a tu teléfono. Te estás protegiendo contra ser enviado a algún sitio al que no tenías intención de ir.

La amenaza real: quishing (phishing con códigos QR)

El quishing es el uso de códigos QR para realizar ataques de phishing. La técnica tiene una ventaja crítica sobre el phishing tradicional: la mayoría de herramientas de seguridad de email empresarial, filtros de spam, escáneres de enlaces, sandboxes, analizan URLs basadas en texto. Un código QR es una imagen. La URL maliciosa es invisible para los escáneres automatizados.

En 2025, el Centro de Quejas de Delitos por Internet del FBI emitió una advertencia específicamente sobre campañas de quishing dirigidas a empleados corporativos. El patrón de ataque es consistente: un email con un código QR incrustado como imagen, alegando que el destinatario necesita escanearlo para verificar su cuenta, completar un paso de autenticación multifactor o acceder a un documento compartido. El código QR los envía a una página falsa de inicio de sesión de Microsoft 365 u Okta. Las credenciales son recopiladas.

Según un informe de enero de 2026 de Help Net Security, investigadores de la Universidad Deakin documentaron cómo los códigos QR visualmente estilizados, aquellos con colores personalizados, logos o patrones artísticos, se están usando específicamente para evadir las herramientas de detección de códigos QR basadas en IA. Un código estilizado es visualmente distinto de los datos de entrenamiento que usan la mayoría de modelos de detección, así que pasa.

La escala no es trivial. La investigación de NordVPN citada en su análisis de seguridad de 2025 encontró que el 73 % de los estadounidenses escanean códigos QR sin verificar la URL de destino, y más de 26 millones de usuarios han sido redirigidos a sitios web maliciosos mediante códigos QR. No son casos aislados, están ocurriendo a gran escala.

Manipulación física: el ataque de la pegatina

El ataque digital de quishing es el vector de amenaza sofisticado. El ataque de manipulación física es más simple y posiblemente más difícil de detectar sin concienciación.

La mecánica: un actor malicioso imprime un nuevo código QR que codifica su URL de phishing, lo recorta a medida y lo coloca como pegatina sobre un código QR legítimo. La pegatina tiene exactamente el mismo aspecto que el original, tamaño aproximado similar, mismo patrón en blanco y negro. Un escáner casual ve lo que parece ser el código QR del menú del restaurante o el código de pago del parquímetro.

Este ataque está bien documentado en el mundo real, no solo en investigación de seguridad. En 2025, el Departamento de Transporte de la Ciudad de Nueva York emitió una advertencia formal tras descubrir pegatinas de códigos QR fraudulentos colocados en parquímetros de toda la ciudad. Los conductores que escaneaban la pegatina eran dirigidos a una página de pago falsa. La Comisión Federal de Comercio de EE. UU. emitió una alerta al consumidor el mismo año advirtiendo específicamente sobre códigos QR en "paquetes inesperados", un vector de fraude común donde llega un paquete con un código QR que instruye al destinatario a escanear para reclamar un reembolso o regalo.

Cómo detectar un código QR manipulado

No existe una prueba visual fiable que distinga un código QR legítimo de uno malicioso solo por el patrón. Lo que puedes comprobar:

  • Estado físico: Una pegatina colocada sobre un código original a menudo tiene bordes ligeramente elevados, desalineación con el material circundante o diferente textura de papel. Mira, no solo escanees.
  • Verificación del dominio: Después de escanear, antes de tocar nada, comprueba la URL que muestra tu escáner. Un parquímetro de la Ciudad de Nueva York no debería estar enviándote a parkingpayment-nyc.ru.
  • Contexto esperado: Un código QR en un menú de restaurante debería ir al dominio de ese restaurante. Un código en una caja de producto debería ir al sitio del fabricante. Si el dominio no coincide con lo que esperas, aborta.

Ataques con códigos QR patrocinados por estados

Esto no es solo fraude al consumidor. En 2025, investigadores de seguridad de Sentinel Labs documentaron que hackers norcoreanos patrocinados por el estado vinculados al grupo APT Kimsuky estaban incrustando códigos QR maliciosos en emails de spear-phishing dirigidos a contratistas gubernamentales e investigadores de think tanks. Los códigos redirigían a las víctimas a páginas falsas de inicio de sesión de Microsoft 365, Okta y portales VPN, recopilando tokens de sesión que permitían acceso persistente.

La razón por la que los códigos QR son efectivos a este nivel: los empleados objetivo a menudo están entrenados para sospechar de enlaces de texto pero no han sido entrenados para tratar los códigos QR con el mismo escepticismo. Un código QR en un email de aspecto profesional no dispara la misma alarma que una URL de texto sospechosa.

Cuándo los códigos QR son completamente seguros

El perfil de riesgo cambia completamente según el contexto en que aparece un código QR. Para una mirada más profunda a si los códigos QR son seguros de escanear, consulta nuestra guía de seguridad completa. Estos son los casos en que los códigos QR presentan riesgo efectivamente nulo:

Tú creaste el código QR

Si usas un generador QR para crear un código que apunta a tu propio sitio web, tus credenciales WiFi o tu tarjeta de contacto, no hay superficie de ataque. Tú controlas tanto el código como el destino. El generador de códigos QR de URL en QR Nova genera códigos del lado del cliente, sin servidor involucrado, sin datos retenidos. Obtienes el código, lo imprimes, lo controlas.

El código está en un producto físico que compraste en un paquete sellado

Un código QR impreso durante la fabricación en una caja de producto es extremadamente improbable que haya sido manipulado. El ataque requeriría acceso físico al inventario sellado. Esto es teóricamente posible pero prácticamente raro comparado con el vector de ataque de pegatina sobre código existente.

Puedes verificar visualmente que el código coincide con la superficie esperada

Un código QR impreso directamente sobre un mantel o grabado en un cartel es mucho más difícil de manipular que uno en un inserto de papel. Cuanto más integrado esté el código con su superficie, menor es el riesgo de manipulación.

Cuándo deberías ser escéptico

Esta es la sección que la mayoría de artículos genéricos de seguridad omiten, te dicen que sospeches de todo, lo que genera fatiga de alertas. Estos son los casos en que el escepticismo elevado está realmente justificado:

  • Paquetes o entregas inesperados: La advertencia de 2025 de la FTC señala esto específicamente. Si llega un paquete inesperadamente con un código QR pidiendo que escanees para un reembolso o regalo, trátalo como un intento de phishing.
  • Códigos QR en emails, particularmente con marco de urgencia: "Escanea para verificar tu cuenta en 24 horas" es un disparador de ingeniería social, no una funcionalidad.
  • Códigos QR públicos en zonas de alto tráfico: Parquímetros, cajeros automáticos y cualquier cosa que maneje pagos son objetivos documentados para ataques de pegatinas. Verifica el dominio antes de proceder con cualquier transacción financiera.
  • Códigos QR en folletos impresos en espacios públicos: Fáciles de imprimir, fáciles de colocar. Un folleto que anuncia un concierto con un código QR para entradas podría ser legítimo o no. Comprueba el dominio.

Cómo afectan los generadores de códigos QR a la seguridad

La plataforma que usas para generar códigos QR afecta a la seguridad de una forma importante: los códigos QR dinámicos creados por plataformas pasan a través de los servidores de redirección de esa plataforma. Esto significa que el actor malicioso no necesita comprometer tu código, necesita comprometer la infraestructura de redirección de la plataforma, lo cual es un listón más alto.

Más relevante para creadores legítimos de códigos QR: las propias prácticas de seguridad de la plataforma importan. Si los servidores de la plataforma son comprometidos y tus reglas de redirección son modificadas sin tu conocimiento, un código previamente seguro podría redirigirse a un destino malicioso. Por eso la plataforma de códigos QR dinámicos que elijas debería tener prácticas de seguridad claras, 2FA en las cuentas y registro de auditoría para cambios de destino.

Los códigos QR estáticos, aquellos que codifican una URL directamente sin capa de redirección, eliminan esta superficie de ataque completamente. No hay servidor que comprometer, no hay cuenta que secuestrar. La URL codificada es fija y transparente. Para códigos QR de WiFi, tarjetas de contacto y cualquier código que apunte a un destino estable, los códigos estáticos son inherentemente más seguros porque su comportamiento no puede ser alterado después de la creación.

Lista de verificación práctica de seguridad para usuarios de códigos QR

Esto es lo que realmente reduce el riesgo, en orden de impacto:

  1. Usa un escáner QR que previsualice la URL antes de cargarla. Tanto iOS (cámara nativa) como Android (Google Lens) muestran la URL de destino como vista previa. Toca la previsualización de la URL para leerla, no pulses solo "abrir". En iOS, mantener pulsada la notificación muestra la URL completa antes de comprometerte a cargarla.
  2. Compara el dominio con tu expectativa. ¿Escaneas un código en la recepción de un hotel? La URL debería tener el dominio del hotel. ¿Escaneas en un restaurante? Debería tener el dominio del restaurante o una plataforma QR reconocible (qrcode-tiger.com, qr-nova.com, etc.). Una discrepancia es una señal de alerta.
  3. Sé escéptico con códigos QR que crean urgencia. "Escanea ahora para reclamar tu premio" es un disparador de ingeniería social, no una funcionalidad.
  4. Nunca introduzcas datos de pago a través de un escaneo de código QR a menos que hayas verificado la URL completa. Los 5 segundos extra de verificación son toda la defensa contra las estafas de parquímetros.
  5. Para negocios que crean códigos QR: usa una plataforma con 2FA en la cuenta. Que tu cuenta sea comprometida significa que los destinos de tus códigos QR pueden cambiar sin reimprimir nada.

Cómo gestiona QR nova la seguridad

QR Nova genera códigos QR estáticos del lado del cliente, la URL que introduces nunca sale de tu navegador hasta que el código se renderiza. No hay base de datos de cuentas que vulnerar para los contenidos de códigos estáticos. Los códigos que descargas son tuyos, sin dependencia de servidor y sin capa de redirección que pueda ser comprometida.

Para usuarios que crean códigos QR para compartir con otros: el generador de códigos QR gratuito produce códigos estáticos que se comportan exactamente como se especificó, cada vez. No hay infraestructura de redirección que pueda ser comprometida y no hay superficie de ataque a nivel de plataforma que pueda cambiar a dónde envían tus códigos.

Si necesitas códigos dinámicos, destinos editables, seguimiento de escaneos, el modelo de seguridad de la plataforma importa más. Cualquier plataforma de códigos QR dinámicos que merezca la pena usar debería ofrecer 2FA en las cuentas, redirecciones solo HTTPS y notificación cuando se cambia una URL de destino. Pregunta directamente a tu plataforma si estas funciones existen antes de imprimir a gran escala.

Puedes crear un código QR estático seguro gratis en QR Nova, sin cuenta necesaria, sin capa de redirección, sin dependencia de servidor.

Preguntas frecuentes

¿Puede un código QR darle un virus a mi teléfono?

La imagen de un código QR en sí no puede infectar tu teléfono, escanear es simplemente reconocimiento óptico de patrones. El riesgo viene de a dónde te envía el código: una URL maliciosa puede llevar a una página de phishing, un sitio de descarga automática o un formulario de recopilación de credenciales. El código QR es el mecanismo de entrega, no el arma.

¿Qué es el quishing?

El quishing es phishing mediante códigos QR, usar un código QR para redirigir a las víctimas a una página de inicio de sesión falsa o descarga de malware. Evita los filtros de seguridad tradicionales de email porque la mayoría de herramientas antiphishing escanean enlaces de texto, no imágenes incrustadas. En 2025, el Centro de Quejas de Delitos por Internet (IC3) del FBI documentó un repunte de ataques de quishing dirigidos a credenciales corporativas mediante códigos QR en emails.

¿Cómo puedo saber si un código QR es seguro antes de escanearlo?

No puedes verificar completamente un código QR antes de escanearlo sin una app de escáner QR que previsualice la URL antes de abrirla. Prácticas seguras: escanea solo códigos que puedas rastrear físicamente hasta una fuente conocida, usa un escáner que muestre la URL de destino antes de cargarla, y nunca escanees códigos QR en paquetes inesperados, emails o pegatinas públicas que no estaban ahí antes.

¿Alguien puede reemplazar un código QR real por uno falso?

Sí, este es el ataque físico de código QR más común. Las pegatinas fraudulentas colocadas sobre códigos QR legítimos se han documentado en parquímetros de la ciudad de Nueva York (2025), mesas de restaurante y cajeros automáticos. La pegatina tiene un aspecto idéntico. La única defensa es verificar que el destino del código QR coincida con el dominio esperado antes de proceder.

¿Son seguros los códigos QR en menús de restaurante?

Los códigos QR colocados por el restaurante en sus propios materiales físicos son casi siempre seguros, el restaurante controla tanto el código como a dónde apunta. El riesgo es un código manipulado: una pegatina colocada sobre el original. Si el dominio en la URL no coincide con el sitio web conocido del restaurante, no procedas.

¿Pueden los códigos QR robar mi información personal?

El código QR en sí no puede robar información, no tiene script, ni componente activo. Pero el sitio web al que te dirige sí puede. Una página falsa de inicio de sesión convincente, por ejemplo, recopila credenciales cuando intentas acceder. El código QR es simplemente el mecanismo de entrega para llevarte a esa página falsa.

¿Qué debo hacer si creo que escaneé un código QR malicioso?

Cierra la pestaña del navegador inmediatamente sin introducir ninguna información. Si introdujiste credenciales, cambia la contraseña de ese servicio de inmediato. Ejecuta un análisis con la app de seguridad de tu teléfono. Reporta el código sospechoso al establecimiento, organización o plataforma donde lo encontraste.

¿Es seguro poner un código QR en mi tarjeta de visita?

Sí. Un código QR que generas e imprimes en tu propia tarjeta de visita es completamente seguro, tú controlas tanto el código como el destino. La preocupación de seguridad surge cuando otras personas distribuyen códigos QR que ellos han creado, no cuando tú creas los tuyos para fines legítimos.

Generate your first QR code — free

Empezar