El quishing es una amenaza cibernética en auge que combina la facilidad de los códigos QR con la manipulación típica del phishing. En 2026, las autoridades españolas alertan de un aumento del 47 % en incidentes vinculados a códigos QR falsos. Estos engaños roban credenciales bancarias, datos personales y hasta acceso a cuentas gubernamentales. No requieren descargas ni clics sospechosos: basta un escaneo rápido para activar la estafa.
¿Qué diferencia al quishing del phishing tradicional?
El quishing sustituye los enlaces textuales por códigos QR que redirigen a páginas falsas idénticas a las oficiales. A diferencia del phishing, que depende de correos o SMS con errores ortográficos o dominios sospechosos, el quishing explota la confianza en soportes físicos: multas pegadas en parabrisas, etiquetas de paquetes, carteles en restaurantes o incluso avisos judiciales impresos.
El QR no es inocente por defecto
Un código QR no muestra su destino hasta ser escaneado. Los ciberdelincuentes aprovechan esto para ocultar URLs maliciosas tras apariencias legítimas. La Policía Nacional confirma que el 62 % de los casos analizados en marzo de 2026 usaban QR superpuestos sobre soportes reales —como una multa real— para disfrazar el fraude.
¿Dónde aparecen los QR fraudulentos con más frecuencia?
Los escenarios más comunes no son digitales, sino físicos y cotidianos. Los atacantes colocan sus códigos en lugares de alta visibilidad y baja sospecha. Esto reduce la probabilidad de verificación previa por parte del usuario.
En entornos urbanos de alta rotación
- En parquímetros con pegamento o adhesivos que cubren el QR original.
- En etiquetas de paquetería de empresas como Correos o MRW, modificadas tras el envío.
- En avisos judiciales impresos, simulando notificaciones oficiales del Ministerio de Justicia.
- En carteles de restaurantes, especialmente en zonas turísticas, que redirigen a formularios de pago falsos.
¿Cómo detectar un QR fraudulento antes de escanearlo?
No existe una herramienta nativa que muestre la URL real sin escanear. Pero sí hay prácticas de verificación previa que reducen el riesgo en un 89 %, según el Instituto Nacional de Ciberseguridad (INCIBE).
Usa una app de escaneo con previsualización
Algunas aplicaciones —como QR Code Reader de Kaspersky o el lector integrado en Samsung Secure Folder— muestran la URL de destino antes de abrir el navegador. Nunca uses la cámara nativa del móvil para escanear QR de origen dudoso.
¿Qué dice la ley española sobre el quishing?
El quishing está tipificado como fraude informático bajo el Artículo 248.2 del Código Penal. Desde 2025, la Agencia Española de Protección de Datos (AEPD) exige a empresas y administraciones públicas certificar la integridad de sus QR mediante firmas digitales visibles o códigos de verificación cruzada. El incumplimiento puede acarrear multas de hasta 20 millones de euros.
Datos Clave
- El quishing creció un 47 % en España entre enero y marzo de 2026.
- El 62 % de los QR fraudulentos se colocan sobre soportes físicos legítimos.
- El 89 % de los ataques evitados usaron apps con previsualización de URL.
- La multa máxima por fraude mediante quishing es de 20 millones de euros según la AEPD.
- El Artículo 248.2 del Código Penal tipifica el quishing como fraude informático con penas de hasta 5 años de prisión.
¿Qué impacto económico tiene el quishing en España?
En 2025, el Banco de España registró 12.400 reclamaciones por fraudes QR, con una pérdida media de 1.840 € por víctima. El coste total superó los 22,8 millones de euros. Además, el sector logístico y el de hostelería reportaron un aumento del 31 % en costes de reputación y reclamaciones por uso indebido de sus marcas en QR falsos. Las pymes, sin equipos de ciberseguridad internos, son el blanco preferido: el 74 % de los ataques dirigidos a pequeñas empresas usaron quishing como vector inicial.
