Están por todas partes, los utilizamos para todo. Son prácticos y útiles, pero también pueden ser falsos o peligrosos.

Phishing, scamming o, en el mejor de los casos, bromas pesadas también pueden caber en uno de esos códigos bidimensionales que escaneamos con el móvil indiscriminadamente.

Vamos a un restaurante y escaneamos el QR para ver la carta. En un evento escaneamos otro para poder seguirlo en directo. En la estación de tren, lo mostramos con nuestros billetes. Incluso en países como India o Japón, los códigos QR son utilizados con frecuencia para realizar pagos entre usuarios y en algunos comercios (por ejemplo en una cafetería, o en plataformas de compraventa tipo Wallapop).

El origen de estos códigos bidi o de respuesta rápida (Quick Response) es, precisamente, Japón, ya que fueron ideados por una subsidiaria de la multinacional Toyota. Hoy día, y desde que en el año 2000 están homologados por el estándar ISO y son de uso común en cualquier parte y por cualquier persona que maneje un dispositivo móvil.

Son fáciles de crear y de utilizar, cualquiera con una aplicación adecuada (y perfectamente legal) puede hacerlo. Pero su principal peculiaridad es que no pueden ser leídos por el ojo humano, solo otra máquina puede hacerlo, por tanto es mucho más fácil ‘caer’ y escanearlos con nuestro dispositivo sin posibilidad de darnos cuenta de que sean o no legítimos. Por tanto, también son una vía fácil para llevarnos a un sitio digital con intenciones de fraude.

Un sitio malicioso donde, como poco, nos robarán nuestros datos y, como mucho, podrán acceder a nuestra cuenta bancaria o nuestro ordenador.

Tipos de fraude mediante QR

Así, por ejemplo, esos QR de pago que como decimos son de uso común en Asia, pueden ser sustituidos por códigos fraudulentos que, una vez que la víctima los escanea con su móvil, instalan en él malware que roba la información personal y financiera para, directamente, liquidar la cuenta bancaria. En España también se han detectado fraudes similares.

Como el caso que reporta Maldita.es y que consiste en sustituir los códigos que el usuario tiene que escanear para utilizar el servicio municipal de bicicletas Bicimad por otros códigos fraudulentos que, también, llevan al usuario a una página fake. En este caso, al estar al aire libre, el acceso para cualquiera que quiera realizar un scam de este tipo es muy sencillo.


Que no nos hayamos dado cuenta de que hay ya muchos fraudes de este tipo no significa que no tengamos que estar alerta.


Las posibilidades de engaño son muchas: podemos recibir un código QR por email para acceder a un pago (un email falso de la compañía del gas, por ejemplo, que nos pide escanear ese código con el móvil, o en relación a una compra online, porque ‘tu pago no se ha hecho efectivo’. O recibir un paquete -que no has pedido- con uno de estos códigos impreso).

En estos casos, el usuario que lo escanea entra dentro de una página fraudulenta que bien puede instalar directamente un malware en su ordenador o que puede pedirle rellenar datos personales (no lo hagas). Ambos serían modalidades de phishing adaptadas al formato QR, es decir, ataques en cierta medida masivos que buscan víctimas indiscriminadamente.

Si bien estamos todos aprendiendo, poco a poco, a reconocer cuentas de correo que son claramente falsas, o links que podrían serlo, con un QR es prácticamente imposible lograrlo a simple vista. Esos QR, si forman parte de sitios ‘seguros’, como una tienda o una cafetería a las que solemos ir, deberían serlo también. Pero, ¿qué sucede cuando están en sitios públicos como un parking?”, reflexiona Hervé Lambert Global Consumer Operations Manager de Panda Security.


La principal peculiaridad de los QR es que no pueden ser leídos por el ojo humano, solo otra máquina puede hacerlo, por tanto es mucho más fácil ‘caer’ y escanearlos con nuestro dispositivo sin posibilidad de darnos cuenta de que sean o no legítimos.


Una vez que el usuario ha picado y ha escaneado el código puede ser que entre en un sitio de apariencia legítima donde se le pida rellenar una serie de datos personales o bancarios; que se trate de un sistema que introduzca un virus en el dispositivo para destruir o bloquear algunas o todas las aplicaciones o que se autoinstale un malware que registre todos nuestros movimientos (entre ellos, las claves que introducimos en cualquier sitio)

La protección empieza por el QR

Que no nos hayamos dado cuenta de que hay ya muchos fraudes de este tipo no significa que no tengamos que estar alerta. Desde Panda Security os recordamos algunos consejos básicos de seguridad que se deberían tener en cuenta siempre en cualquier acceso a internet (y este, recordemos, también lo es):

  • Dónde está: Si el acceso está en la calle o en un sitio público, evitemos escanearlo y, por tanto, dar acceso desde nuestro móvil a un sitio fraudulento, ya que cualquiera ha podido manipularlo. Podemos también prestar atención a si ese código está embebido (por ejemplo en la carta del restaurante) o pegado encima, en cuyo caso, puede ser falso.
  • Para qué es: Cuando recibas una factura o un código por email aplica las mismas reglas de prevención que con los links: verifica la dirección de email, comprueba si de verdad estás en relaciones con esa empresa, tienda, mensajería, etc. y, en caso de duda, no lo escanees.
  • Cuál es la dirección URL: Casi siempre podremos previsualizar la dirección web cuando escaneamos uno de estos códigos con el teléfono, vigilemos los detalles de esa dirección antes de entrar (por ejemplo, que sea el dominio legítimo de nuestro banco y no, por ejemplo, mibancoxxsi.tv).
  • Cómo pagas: No utilices aplicaciones de pago que no cuenten con la autentificación en dos factores, y evita las que permiten el pago ‘en un clic’. Así, incluso en el caso de que un QR te redirija a una página fraudulenta, tu aplicación bancaria debería pedirte una segunda verificación. En cualquier caso, trata de pagar las pequeñas cantidades online con una cuenta monedero o con una e-wallet en la que solo tengas una pequeña cantidad de dinero, para evitar males mayores aún en caso de que sea hackeada.
  • Con qué lo escaneas: Descarga un escaneador de QR de una fuente respetable, ya hay algunos que detectan códigos fraudulentos y pueden alertar a los usuarios. 

Y aunque ya hemos comentado que la detección a simple vista es difícil, muchas veces será nuestro dispositivo quien pueda ayudarnos a lograrlo.

“Es importante mantener todas nuestras aplicaciones y sistemas operativos actualizados. Recordemos que las compañías suelen estar vigilantes y tienen muchos más recursos que un usuario individual para detectar y parchear”, recomienda Lambert.

Y por supuesto, nunca está de más el uso de antivirus específicos, Panda Dome incluye una funcionalidad llamada “Navegación Segura” que te protege frente a paginas fraudulentas, el sistema bloquea todas las direcciones que podrían ser falsa como por el ejemplo los sitios de phishing.