Codigos QR Podem Ser Hackeados? Os Riscos Reais
Codigos QR podem ser hackeados? O codigo em si nao, mas ataques de quishing enganam voce apos a leitura. Conheca as ameacas reais e como se proteger.

Este artigo foi escrito pela equipe da QR Nova. Desenvolvemos software de codigos QR, o que pode influenciar nossa perspectiva.
A maioria dos artigos de seguranca sobre QR codes ou diz "sao completamente seguros" ou espirala em alertas vagos sobre "codigos maliciosos" sem explicar como nada disso realmente funciona. Nenhuma abordagem e util para a pessoa que acabou de receber um QR code em um email inesperado e quer uma resposta real. Veja o que realmente importa. A imagem de um QR code nao pode ser hackeada, e apenas um padrao impresso. O que pode ser hackeado e para onde esse padrao te envia, e a mecanica do phishing baseado em QR (chamado quishing) se tornou sofisticada o suficiente para que, em 2025, o FBI alertasse formalmente empresas sobre QR codes sendo usados para burlar filtros de seguranca de email corporativo.
Resumo rapido
- O QR code em si nao pode ser "hackeado", nao tem codigo executavel, nenhum componente ativo.
- O ataque real e o quishing: um QR code malicioso que te redireciona para uma pagina de phishing ou download de malware.
- Adulteracao fisica, adesivos falsos sobre QR codes reais, e documentada no mundo real (parquimetros, mesas de restaurante).
- Pratica segura: sempre pre-visualize a URL de destino antes de prosseguir, e escaneie apenas codigos que voce pode rastrear a uma fonte confiavel.
Codigos QR podem ser hackeados?
Generate your first QR code — free
ComecarUm QR code e um padrao de modulos preto e branco organizados em uma grade quadrada, codificando dados usando o padrao ISO/IEC 18004. Quando sua camera o escaneia, o celular le o padrao opticamente, da mesma forma que leria um codigo de barras. Nao ha execucao de codigo, nenhuma transmissao de dados, nenhuma requisicao de rede no momento da leitura. A imagem do QR code em si nao pode ser hackeada, infectada ou transformada em arma.
O que pode ser manipulado e o conteudo codificado no padrao. Um QR code que codifica https://seubanco.com parece identico em tamanho e estrutura a um que codifica https://seub4nco-login.com. O olho humano nao consegue diferenciar pelo padrao de pixels. A superficie de ataque nao e o QR code, e a URL que ele contem.
Essa distincao importa porque muda contra o que voce realmente se protege. Voce nao esta se protegendo contra o QR code fazendo algo no seu celular. Voce esta se protegendo contra ser enviado a algum lugar que nao pretendia ir.
A ameaca real: quishing (phishing com QR code)
Quishing e o uso de QR codes para entregar ataques de phishing. A tecnica tem uma vantagem critica sobre o phishing tradicional: a maioria das ferramentas de seguranca de email corporativo, filtros de spam, scanners de links, sandboxes, analisa URLs baseadas em texto. Um QR code e uma imagem. A URL maliciosa e invisivel para scanners automatizados.
Em 2025, o Internet Crime Complaint Center do FBI emitiu um alerta especificamente sobre campanhas de quishing direcionadas a funcionarios corporativos. O padrao de ataque e consistente: um email com QR code embutido como imagem, alegando que o destinatario precisa escanea-lo para verificar a conta, completar uma etapa de autenticacao multifator ou acessar um documento compartilhado. O QR code os envia para uma pagina falsificada de login do Microsoft 365 ou Okta. Credenciais sao coletadas.
De acordo com um relatorio de janeiro de 2026 do Help Net Security, pesquisadores da Universidade Deakin documentaram como QR codes visualmente estilizados, com cores personalizadas, logos ou padroes artisticos, estao sendo usados especificamente para burlar ferramentas de deteccao de QR code baseadas em IA. Um codigo estilizado e visualmente distinto dos dados de treinamento que a maioria dos modelos de deteccao usa, entao passa despercebido.
A escala nao e trivial. Pesquisa da NordVPN citada em sua analise de seguranca de 2025 descobriu que 73% dos americanos escaneiam QR codes sem verificar a URL de destino, e mais de 26 milhoes de usuarios foram redirecionados para sites maliciosos via QR codes. Esses nao sao casos isolados, estao acontecendo em escala.
Adulteracao fisica: o ataque do adesivo
O ataque digital de quishing e o vetor de ameaca sofisticado. O ataque de adulteracao fisica e mais simples e indiscutivelmente mais dificil de detectar sem conscientizacao.
A mecanica: um agente malicioso imprime um novo QR code codificando sua URL de phishing, recorta no tamanho e coloca como adesivo sobre um QR code legitimo. O adesivo parece exatamente como o original, mesmo tamanho aproximado, mesmo padrao preto e branco. Um escaneador casual ve o que parece ser o QR code do cardapio do restaurante ou o codigo de pagamento do parquimetro.
Esse ataque e bem documentado no mundo real, nao apenas em pesquisas de seguranca. Em 2025, o Departamento de Transporte de Nova York emitiu um alerta formal apos descobrir adesivos de QR code fraudulentos colocados em parquimetros por toda a cidade. Motoristas que escanearam o adesivo foram direcionados a uma pagina de pagamento falsa. A Federal Trade Commission dos EUA emitiu um alerta ao consumidor no mesmo ano avisando especificamente sobre QR codes em "pacotes inesperados", um vetor de fraude comum onde um pacote chega com um QR code instruindo o destinatario a escanear para receber um reembolso ou presente.
Como identificar um QR code adulterado
Nao existe teste visual confiavel que distinga um QR code legitimo de um malicioso apenas pelo padrao. O que voce pode verificar:
- Condicao fisica: Um adesivo colocado sobre um codigo original geralmente tem bordas ligeiramente elevadas, desalinhamento com o material ao redor ou textura de papel diferente. Olhe, nao apenas escaneie.
- Verificacao de dominio: Apos escanear, antes de tocar em qualquer coisa, verifique a URL que seu scanner mostra. Um parquimetro em Sao Paulo nao deveria te enviar para
pagamento-estacionamento-sp.ru. - Contexto esperado: Um QR code em um cardapio de restaurante deveria ir para o dominio daquele restaurante. Um codigo em uma caixa de produto deveria ir para o site do fabricante. Se o dominio nao corresponde ao que voce espera, aborte.
Ataques de QR code patrocinados por estados
Isso nao e apenas fraude de consumidor. Em 2025, pesquisadores de seguranca do Sentinel Labs documentaram que hackers norte-coreanos patrocinados pelo estado, vinculados ao grupo APT Kimsuky, estavam embutindo QR codes maliciosos em emails de spear-phishing direcionados a contratantes governamentais e pesquisadores de think tanks. Os codigos redirecionavam vitimas para paginas de login falsas do Microsoft 365, Okta e portais VPN, coletando tokens de sessao que permitiam acesso persistente.
O motivo pelo qual QR codes sao eficazes nesse nivel: funcionarios-alvo geralmente sao treinados para desconfiar de links de texto, mas nao foram treinados para tratar QR codes com o mesmo ceticismo. Um QR code em um email com aspecto profissional nao dispara o mesmo alarme que uma URL de texto suspeita.
Quando QR codes sao completamente seguros
O perfil de risco muda completamente com base no contexto em que o QR code aparece. Para uma analise mais profunda sobre se QR codes sao seguros para escanear, veja nosso guia completo de seguranca. Veja quando QR codes tem risco efetivamente zero:
Voce criou o QR code
Se voce usa um gerador de QR para criar um codigo apontando para seu proprio site, suas credenciais WiFi ou seu cartao de contato, nao ha superficie de ataque. Voce controla tanto o codigo quanto o destino. O Gerador de QR Code do QR Nova gera codigos no lado do cliente, sem servidor envolvido, sem dados retidos. Voce recebe o codigo, imprime e controla.
O codigo esta em um produto fisico que voce comprou em embalagem lacrada
Um QR code impresso durante a fabricacao em uma caixa de produto e extremamente improvavel de ter sido adulterado. O ataque exigiria acesso fisico a estoque lacrado. Isso e teoricamente possivel, mas praticamente raro comparado ao ataque de adesivo sobre codigo existente.
Voce pode verificar visualmente que o codigo corresponde a superficie esperada
Um QR code impresso diretamente em uma toalha de mesa ou gravado em uma placa e muito mais dificil de adulterar do que um em um inserto de papel. Quanto mais integrado o codigo com sua superficie, menor o risco de adulteracao.
Quando voce deve ser cetico
Esta e a secao que a maioria dos artigos genericos de seguranca omite, eles dizem para desconfiar de tudo, o que cria fadiga de alerta. Veja quando ceticismo elevado e realmente justificado:
- Pacotes ou entregas inesperadas: O alerta de 2025 da FTC sinaliza isso especificamente. Se um pacote chega inesperadamente com um QR code pedindo para escanear para um reembolso ou presente, trate como tentativa de phishing.
- QR codes em emails, particularmente com enquadramento de urgencia: "Escaneie para verificar sua conta em 24 horas" e um gatilho de engenharia social. Servicos legitimos nao exigem verificacao por QR code via email.
- QR codes publicos em areas de alto trafego: Parquimetros, caixas eletronicos e qualquer coisa que lide com pagamento sao alvos documentados para ataques de adesivo. Verifique o dominio antes de prosseguir com qualquer transacao financeira.
- QR codes em panfletos impressos em espacos publicos: Facil de imprimir, facil de colocar. Um panfleto anunciando um show com QR code para ingressos pode ser legitimo ou nao. Verifique o dominio.
Como geradores de QR code afetam a seguranca
A plataforma que voce usa para gerar QR codes afeta a seguranca de uma forma importante: codigos QR dinamicos criados por plataformas passam pelos servidores de redirecionamento dessa plataforma. Isso significa que o agente malicioso nao precisa comprometer seu codigo, precisa comprometer a infraestrutura de redirecionamento da plataforma, o que e uma barra mais alta.
Mais relevante para criadores legitimos de QR codes: as praticas de seguranca da propria plataforma importam. Se os servidores da plataforma forem comprometidos e suas regras de redirecionamento forem alteradas sem seu conhecimento, um codigo previamente seguro poderia ser redirecionado para um destino malicioso. Por isso, a plataforma de QR code dinamico que voce escolher deve ter praticas de seguranca claras, 2FA nas contas e registro de auditoria para mudancas de destino.
QR codes estaticos, aqueles que codificam uma URL diretamente sem camada de redirecionamento, eliminam essa superficie de ataque completamente. Nao ha servidor para comprometer, nenhuma conta para sequestrar. A URL codificada e fixa e transparente. Para QR codes de WiFi, cartoes de contato e qualquer codigo apontando para um destino estavel, codigos estaticos sao inerentemente mais seguros porque seu comportamento nao pode ser alterado apos a criacao.
Checklist pratico de seguranca para usuarios de QR code
Isso e o que realmente reduz o risco, em ordem de impacto:
- Use um scanner de QR que pre-visualiza a URL antes de carregar. Tanto iOS (camera nativa) quanto Android (Google Lens) mostram a URL de destino como pre-visualizacao. Toque na pre-visualizacao da URL para le-la, nao apenas toque em "abrir". No iOS, pressionar longamente a notificacao mostra a URL completa antes de voce se comprometer a carrega-la.
- Compare o dominio com sua expectativa. Escaneando um codigo na recepcao do hotel? A URL deveria ter o dominio do hotel. Escaneando em um restaurante? Deveria ter o dominio do restaurante ou uma plataforma de QR reconhecivel (qrcode-tiger.com, qr-nova.com, etc.). Uma incompatibilidade e um sinal de alerta.
- Desconfie de QR codes com enquadramento de urgencia. "Escaneie agora para receber seu premio" e um gatilho de engenharia social, nao um recurso.
- Nunca insira dados de pagamento apos escanear um QR code sem verificar a URL completa. Os 5 segundos extras de verificacao sao toda a defesa contra golpes de parquimetro.
- Para negocios criando QR codes: use uma plataforma com 2FA na conta. Sua conta sendo comprometida significa que os destinos dos seus QR codes podem ser alterados sem reimprimir nada.
Como o QR nova lida com seguranca
O QR Nova gera QR codes estaticos no lado do cliente, a URL que voce insere nunca sai do seu navegador ate o codigo ser renderizado. Nao ha banco de dados de contas para violar em busca do conteudo dos codigos estaticos. Os codigos que voce baixa sao seus, sem dependencia de servidor e sem camada de redirecionamento que possa ser comprometida.
Para usuarios criando QR codes para compartilhar com outros: o gerador de QR code gratis produz codigos estaticos que se comportam exatamente como especificado, sempre. Nao ha infraestrutura de redirecionamento que possa ser comprometida e nenhuma superficie de ataque em nivel de plataforma que possa mudar para onde seus codigos enviam as pessoas.
Se voce precisa de codigos dinamicos, destinos editaveis, rastreamento de leituras, o modelo de seguranca da plataforma importa mais. Qualquer plataforma de QR dinamico que valha a pena deve oferecer 2FA nas contas, redirecionamentos apenas HTTPS e notificacao quando uma URL de destino e alterada. Pergunte diretamente a plataforma se esses recursos existem antes de imprimir em escala.
Voce pode criar um QR code estatico seguro gratis no QR Nova, sem conta necessaria, sem camada de redirecionamento, sem dependencia de servidor.
Perguntas frequentes
Um QR code pode dar virus no meu celular?
A imagem do QR code em si nao pode infectar seu celular, escanear e apenas reconhecimento optico de padroes. O risco vem de para onde o codigo te envia: uma URL maliciosa pode levar a uma pagina de phishing, um site de download automatico ou um formulario de coleta de credenciais. O QR code e o mecanismo de entrega, nao a arma.
O que e quishing?
Quishing e phishing com QR code, usar um QR code para redirecionar vitimas a uma pagina de login falsa ou download de malware. Ele burla filtros tradicionais de seguranca de email porque a maioria das ferramentas anti-phishing escaneia links de texto, nao imagens. Em 2025, o Internet Crime Complaint Center (IC3) do FBI documentou um pico de ataques de quishing visando credenciais corporativas via QR codes em emails.
Como saber se um QR code e seguro antes de escanear?
Voce nao consegue verificar completamente um QR code antes de escanear sem um app de scanner que pre-visualiza a URL antes de abri-la. Praticas seguras: escaneie apenas codigos que voce pode rastrear fisicamente a uma fonte conhecida, use um scanner que mostra a URL de destino antes de carregar, e nunca escaneie QR codes em pacotes inesperados, emails ou adesivos publicos que nao estavam la antes.
Alguem pode substituir um QR code real por um falso?
Sim, este e o ataque fisico mais comum com QR code. Adesivos fraudulentos colocados sobre QR codes legitimos foram documentados em parquimetros de Nova York (2025), mesas de restaurantes e caixas eletronicos. O adesivo parece identico. A unica defesa e verificar que o destino do QR code corresponde ao dominio esperado antes de prosseguir.
QR codes em cardapios de restaurante sao seguros?
QR codes colocados pelo restaurante em seus proprios materiais fisicos sao quase sempre seguros, o restaurante controla tanto o codigo quanto para onde ele aponta. O risco e um codigo adulterado: um adesivo colocado sobre o original. Se o dominio na URL nao corresponde ao site conhecido do restaurante, nao prossiga.
QR codes podem roubar minhas informacoes pessoais?
O QR code em si nao pode roubar informacoes, nao tem script, nenhum componente ativo. Mas o site para o qual ele direciona pode. Uma pagina de login falsa convincente, por exemplo, coleta credenciais quando voce tenta fazer login. O QR code e apenas o mecanismo de entrega para leva-lo a essa pagina falsa.
O que fazer se eu achar que escaneei um QR code malicioso?
Feche a aba do navegador imediatamente sem inserir nenhuma informacao. Se voce inseriu credenciais, troque a senha daquele servico imediatamente. Execute uma verificacao com o app de seguranca do seu celular. Reporte o codigo suspeito ao local, organizacao ou plataforma onde voce o encontrou.
E seguro colocar um QR code no meu cartao de visita?
Sim. Um QR code que voce gera e imprime no seu proprio cartao de visita e totalmente seguro, voce controla tanto o codigo quanto o destino. A preocupacao de seguranca surge quando outras pessoas distribuem QR codes que elas criaram, nao quando voce cria os seus para propositos legitimos.
Artigos relacionados
Phishing por QR Code (Quishing): Como se Proteger
Quishing cresceu 400% desde 2023. Veja como funcionam ataques de phishing por QR code, como identificá-los e como se proteger.
Melhores Práticas de Segurança QR para Plataformas
Segurança de plataforma de QR code: validação de URL, auditoria de redirecionamentos, monitoramento de anomalias, prevenção de abuso e logs de auditoria.
Código QR Permanente: Como Ter Um Que Nunca Expira
Códigos QR permanentes existem, mas a maioria das plataformas mente sobre o que 'permanente' significa. Saiba quais realmente nunca expiram.
Generate your first QR code — free
Comecar