¿Son Seguros los Códigos QR? Riesgos Reales
¿Son seguros los códigos QR? El código en sí no daña, pero a donde te envía sí. Riesgos reales, mitos y cómo escanear con seguridad.

Este articulo fue escrito por el equipo de QR Nova. Desarrollamos software de codigos QR, lo que puede influir en nuestra perspectiva.
Los artículos sobre seguridad de códigos QR se dividen en dos bandos: advertencias paranoicas que sugieren no escanear nunca nada, y garantías despreocupadas de que los códigos QR son "solo enlaces". Ambos fallan. Los códigos QR son seguros de escanear de la misma manera que hacer clic en un enlace es seguro, el código en sí no puede dañar tu dispositivo, pero a lo que te dirige sí puede. El modelo de amenaza real es específico, los riesgos son reales en contextos definidos, y evitarlos lleva unos 10 segundos de criterio por escaneo.
TL;DR
- Escanear un código QR no puede por sí mismo instalar malware ni robar datos, equivale a teclear una URL.
- El riesgo está en el destino: sitios de phishing, descargas maliciosas y robo de credenciales mediante páginas de pago falsas.
- El phishing con códigos QR (quishing) es un vector de ataque documentado y creciente, el FBI advirtió formalmente sobre él en enero de 2024.
- La manipulación física (pegatinas sobre códigos legítimos) es el ataque real más común; los códigos QR digitales en emails son el vector de spam/phishing más habitual. Descubre más sobre cómo pueden ser hackeados los códigos QR.
- La mayoría de escaneos de códigos QR, menús de restaurantes, packaging de productos, tarjetas de visita, presentan riesgo insignificante en la vida real.
¿Son seguros los códigos QR?
Generate your first QR code — free
EmpezarUn código QR es un patrón legible por máquina que codifica texto, habitualmente una URL, pero potencialmente cualquier cadena corta de datos. Cuando tu teléfono lo escanea, la cámara decodifica el patrón y presenta el texto. En este punto, no ha ocurrido nada dañino. El código QR en sí no tiene componente ejecutable, ni carga útil, ni capacidad de ejecutar código en tu dispositivo.
El riesgo comienza cuando tu teléfono actúa sobre ese texto decodificado. Si el código QR codifica una URL y tu teléfono la abre automáticamente, has navegado a esa URL, y todo lo que puede salir mal al visitar una URL maliciosa puede salir mal ahora. Esto equivale a hacer clic en un enlace de un email de un remitente desconocido.
Entender esta distinción determina la respuesta adecuada. No te estás protegiendo de los códigos QR. Te estás protegiendo de aquello a lo que enlazan.
La amenaza real: quishing (phishing con códigos QR)
El quishing, phishing con códigos QR, es el vector de ataque documentado más importante que involucra códigos QR, y está creciendo. La División Cibernética del FBI emitió un comunicado público formal en enero de 2024 advirtiendo que los cibercriminales están "manipulando códigos QR tanto digitales como físicos para redirigir a las víctimas a sitios maliciosos".
La mecánica es sencilla. Los atacantes saben que la mayoría de pasarelas de seguridad de email corporativo escanean hipervínculos buscando dominios maliciosos conocidos pero no analizan imágenes incrustadas. Al colocar un código QR en un correo de phishing en lugar de un hipervínculo, evitan las defensas de escaneo de enlaces. La víctima escanea con su teléfono, a menudo un dispositivo personal no cubierto por software de seguridad corporativo, y aterriza en una página de robo de credenciales.
Según un informe de inteligencia de amenazas de Hoxhunt de 2024, los ataques de phishing con códigos QR aumentaron un 587 % en la primera mitad de 2024 comparado con el mismo periodo de 2023. Esto no es teórico. Es un patrón de ataque activo y documentado.
La estafa del parquímetro: quishing físico en el mundo real
El quishing físico se dirige a ubicaciones de alto tráfico y baja supervisión. El patrón más documentado en 2023-2024 fueron los códigos QR falsos de pago de estacionamiento. Los atacantes colocaron pegatinas sobre los códigos QR legítimos de pago en parquímetros de ciudades como Austin, San Antonio y Houston (reportado por el Departamento de Policía de Austin en febrero de 2023). Las víctimas escaneaban el código de la pegatina, introducían los datos de su tarjeta de crédito en una página de pago falsa convincente, y no pagaban nada mientras sus datos de tarjeta eran robados.
Este ataque funciona porque los parquímetros son infraestructura exterior que la mayoría de la gente no inspecciona con detenimiento antes de escanear. Distinguir una pegatina aplicada sobre un código existente del original requiere comprobar físicamente si el código está elevado o tiene bordes visibles. La mayoría de la gente no lo hace.
Cómo saber si un código QR es seguro para escanear
No puedes verificar definitivamente la seguridad de un código QR antes de escanearlo, ese es el reto fundamental. Pero puedes reducir sustancialmente el riesgo con unos pocos hábitos.
Usa un escáner QR que previsualice la URL
Saber cómo escanear un código QR con seguridad empieza por tu app de escáner. Las apps de cámara predeterminadas en iOS y Android abren URLs automáticamente tras una breve vista previa. La mayoría de usuarios no leen la previsualización. Una app de escáner QR dedicada (Kaspersky QR Scanner, Trend Micro QR Scanner, o similar) te muestra la URL completa y te pide que confirmes antes de abrirla. Esto te da la oportunidad de leer el dominio antes de proceder.
Señales de alerta en la vista previa de la URL: dominios desconocidos, dominios que escriben mal marcas conocidas (paypa1.com, arnazon.com), acortadores de URL (bit.ly, tinyurl.com) que ocultan el destino real, y URLs HTTP (no HTTPS).
Inspecciona los códigos físicos buscando manipulación
Para códigos QR en espacios públicos, especialmente los relacionados con pagos (estacionamiento, máquinas expendedoras, transporte), comprueba si el código:
- Forma parte del material impreso original (integrado en el diseño, no añadido después)
- Está plano contra la superficie sin bordes elevados ni costuras de pegatina
- Coincide en estilo con el material circundante
Si alguna de estas comprobaciones falla, trata el código como potencialmente comprometido. Para códigos de pago, busca una dirección web oficial o número de teléfono en la máquina y úsalo para pagar en su lugar.
El contexto es el mejor predictor de riesgo
El perfil de riesgo de un escaneo de código QR correlaciona fuertemente con cómo y dónde apareció:
- Bajo riesgo: Packaging de producto de una marca conocida, menús de restaurante impresos y plastificados por el propio restaurante, tarjetas de visita de una persona que acabas de conocer, acreditaciones y entradas de eventos, códigos QR en comercios minoristas de tiendas establecidas.
- Riesgo medio: Códigos QR en boletines de email de empresas a las que te has suscrito, códigos QR en folletos en espacios públicos, códigos en notas escritas a mano.
- Alto riesgo: Códigos QR en emails o mensajes de texto no solicitados (especialmente los que reclaman urgencia), códigos en emails que se hacen pasar por tu banco o empleador, códigos en parquímetros o quioscos de pago público con pegatinas superpuestas, códigos que prometen regalos o premios gratis.
Lo que no puede salir mal al escanear un código QR
Aclarar las falsas amenazas es tan útil como identificar las reales. A pesar de lo que algunos artículos de seguridad insinúan, estas cosas no pueden ocurrir al escanear un código QR:
- Instalación de malware automática: Escanear el patrón y que tu teléfono lo decodifique a una URL no puede instalar malware. Esto requiere una vulnerabilidad del navegador, mantener el sistema operativo de tu teléfono actualizado es la mitigación.
- Explotación de Bluetooth o NFC vía código QR: Los códigos QR no pueden activar el emparejamiento Bluetooth, pagos NFC ni acciones a nivel de sistema sin confirmación explícita del usuario en iOS y Android modernos.
- Acceso directo a la cámara o activación del micrófono: Leer un código QR no otorga al sitio web permiso para acceder a tu cámara o micrófono. Las concesiones de permisos siguen requiriendo acción explícita del usuario.
- SIM swap o toma de cuenta puramente desde un escaneo: Un código QR puede llevarte a una página de phishing que luego te engaña para introducir credenciales o aprobar una acción, pero el código QR en sí no puede ejecutar estas acciones.
Códigos QR en emails: el vector de riesgo más común
Por volumen, los códigos QR en emails son el contexto de escaneo de mayor riesgo para la mayoría de la gente. El patrón: un email parece venir de tu banco, servicio de paquetería o empleador. Contiene un código QR y te pide que "verifiques tu cuenta", "confirmes una entrega" o "apruebes una solicitud de inicio de sesión". El código QR lleva a una página de phishing convincente.
Esto es lo clave que hay que recordar: los servicios legítimos casi nunca requieren que escanees un código QR para realizar una acción rutinaria de cuenta. Los bancos envían enlaces, no códigos QR, para acceso o verificación. Los servicios de paquetería envían enlaces de seguimiento. Si un código QR en un email crea urgencia ("escanea en las próximas 24 horas o tu cuenta será suspendida"), ese es el patrón de ataque, no un comportamiento de servicio legítimo.
Las directrices de la FTC sobre estafas con códigos QR (publicadas en febrero de 2024) señalan específicamente esto: "Los estafadores ocultan enlaces dañinos en códigos QR para robar información personal". Su orientación refleja este marco, el escaneo en sí no es el daño, el destino lo es.
Cuándo la seguridad del código QR no es una preocupación
La gran mayoría de escaneos de códigos QR en la vida cotidiana presentan un riesgo insignificante. Escanear un código QR en un restaurante para ver el menú, conectarse al WiFi de un negocio mediante un código QR, obtener datos de contacto de una tarjeta de visita, o escanear un producto para más información, estos son contextos de bajo riesgo donde el creador del código es conocido (el restaurante, el negocio, el fabricante) y el destino es predecible.
La confianza contextual es el filtro: ¿sabes quién creó este código QR, y el contexto hace plausible que su código vaya a algún lugar legítimo? Si la respuesta es sí, escanéalo. Si la respuesta a cualquiera de las dos preguntas es no, tómate un segundo para previsualizar la URL antes de abrirla.
Crear códigos QR seguros para que otros los escaneen
Si estás creando códigos QR para tu negocio, eventos o materiales, la cuestión de seguridad va en la dirección opuesta: ¿cómo te aseguras de que la gente que escanea tus códigos confíe en ellos?
Tres pasos prácticos:
- Usa códigos estáticos siempre que sea posible: Los códigos estáticos codifican tu destino directamente, no hay redirección a través de un servidor de terceros que pudiera ser comprometido o tomado. Un código QR estático de WiFi para tu negocio es tan fiable como el material físico en el que está impreso.
- Para códigos dinámicos, usa un dominio personalizado: Si tu código QR redirige a través de
tumarca.com/qr/abcen lugar deplataforma-qr.com/abc123, quienes escanean pueden reconocer tu dominio en la previsualización de URL y confiar más fácilmente. - No uses cadenas de redirección: Cada salto de redirección entre tu código QR y el destino añade riesgo potencial y reduce la transparencia de adónde va el escaneo.
Los códigos QR creados en QR Nova para casos de uso estáticos son lo más seguros posible, el destino se codifica directamente, no hay redirección de terceros, y no hay nada que un atacante pueda comprometer entre el código y tu destino. Las tarjetas de visita con código QR y los códigos WiFi generados aquí son estáticos por definición.
La conclusión honesta
Los códigos QR son seguros de escanear cuando sabes quién los creó y dónde estás. No son inherentemente seguros cuando llegan sin solicitar por email o cuando aparecen en infraestructura de pago exterior donde la manipulación es posible. Este es el mismo cálculo de riesgo que aplicas al hacer clic en enlaces, los códigos QR simplemente hacen la fuente un poco más opaca.
La respuesta apropiada no es la paranoia. La mayoría de escaneos de códigos QR son completamente benignos. Aplica el mismo juicio situacional que aplicas a los enlaces: considera la fuente, previsualiza antes de actuar, y para cuando algo crea urgencia.
Preguntas frecuentes
¿Escanear un código QR puede darte un virus?
Escanear el código QR en sí no puede instalar malware, tu cámara simplemente lee un patrón y lo convierte en texto. El riesgo está en lo que ocurre después: si la URL decodificada lleva a un sitio malicioso que explota una vulnerabilidad del navegador o te engaña para descargar algo, ahí es donde está el daño. El código QR es el mecanismo de entrega, no la amenaza en sí.
¿Qué es el phishing con códigos QR (quishing)?
El quishing es un ataque de phishing usando códigos QR en lugar de hipervínculos. Los atacantes envían correos, colocan pegatinas sobre códigos QR legítimos o imprimen códigos falsos en lugares públicos, todos llevan a sitios web de robo de credenciales. El FBI emitió una advertencia formal sobre el quishing en enero de 2024, citando un aumento significativo de denuncias.
¿Cómo puedo saber si un código QR es seguro antes de escanearlo?
No puedes verificar completamente un código QR antes de escanearlo sin un lector QR que te muestre la URL antes de abrirla. La mayoría de cámaras de teléfono abren la URL inmediatamente. Usa una app de escáner QR que te muestre la URL primero y te deje confirmar antes de proceder. Si estás en un espacio público, inspecciona el código QR buscando signos de manipulación, una pegatina colocada sobre un código existente es una señal de alerta.
¿Es seguro escanear un código QR de un restaurante?
Generalmente sí, los restaurantes establecidos con códigos QR impresos en sus menús físicos presentan bajo riesgo. El riesgo aumenta con pegatinas o adiciones escritas a mano en materiales existentes, códigos en correos no solicitados y códigos en ubicaciones donde la manipulación sería fácil (parquímetros, avisos públicos). Si el código QR está físicamente integrado en material impreso, es muy improbable que haya sido manipulado.
¿Un código QR puede robar mi información personal?
Un código QR en sí no puede, es simplemente un patrón que codifica texto. Pero el sitio web al que te lleva puede intentar robar información a través de formularios de phishing, secuestro de sesión o ingeniería social. Escanear un código QR equivale a hacer clic en un enlace que recibes de una fuente desconocida.
¿Se usan códigos QR para estafas?
Sí, las estafas con códigos QR están documentadas y en aumento. La FTC reportó un notable incremento en quejas de fraude relacionadas con códigos QR en 2024. Los patrones comunes incluyen parquímetros falsos, códigos fraudulentos de transferencia de criptomonedas y correos de phishing con códigos QR sustituyendo hipervínculos (para evadir filtros de seguridad de email que no escanean imágenes).
¿Es seguro escanear códigos QR con mi app bancaria?
Solo escanea códigos QR con tu app bancaria cuando la fuente sea inequívoca, la sucursal física del banco, correspondencia oficial o instrucciones dentro de la app. Nunca escanees un código QR de un correo que dice ser de tu banco a menos que tú hayas iniciado la interacción. Las estafas bancarias con códigos QR son de las más comunes a 2024.
Articulos relacionados
Phishing con Código QR (Quishing): Cómo Protegerte
El quishing creció un 400 % desde 2023 y ya es el 12 % de los ataques de phishing. Aprende a detectar QR falsos y protegerte sin tecnicismos.
Mejores Prácticas de Seguridad QR para Plataformas
Seguridad de plataformas de códigos QR: validación de URL, auditoría de redirecciones, monitoreo de anomalías, prevención de abuso y registros de auditoría.
¿Pueden Hackearse los Códigos QR?
¿Pueden ser hackeados los códigos QR? El código en sí no, pero los ataques de quishing te engañan tras escanearlo. Amenazas reales y protección.
Generate your first QR code — free
Empezar