Escaneas un QR en un restaurante o un paquete recién llegado. Tu cámara lo detecta, aparece una notificación y tocas sin pensar. En dos segundos, tu móvil abre una web que solicita tus datos o descarga algo extraño. Demasiado tarde: el daño ya está hecho.
El problema explotó en los últimos meses de 2025. Kaspersky reportó en enero 2026 que las detecciones de phishing por QR saltaron de 46.969 en agosto a 249.723 en noviembre: un aumento de cinco veces en tres meses. El 73% de usuarios escanea códigos sin verificar el destino. Tu móvil puede frenar esto mostrándote el enlace completo antes de abrirlo, pero la función viene desactivada de fábrica.
QR se convirtieron en trampa perfecta
Los ciberdelincuentes encontraron el eslabón débil: la confianza ciega. Un código impreso parece inofensivo, pero detrás esconde URLs acortadas, redirecciones múltiples y dominios fraudulentos que imitan sitios oficiales. El ataque es tan efectivo que el 68% de los ataques de quishing apuntaron específicamente a móviles en 2025.
La técnica se disparó porque esquiva filtros tradicionales. Los QR no dejan rastro en el texto del email o mensaje:
- 4.2 millones de amenazas QR fueron identificadas en los primeros meses de 2025
- 12% de todos los ataques phishing contenían un código QR durante 2025
- 25% de emails de phishing usaron QR como señuelo principal según Microsoft
- Pérdida promedio por incidente: más de 1 millón de dólares
Frente a este escenario, la mayoría sigue escaneando igual que en 2020: apuntar, tocar, confiar.
Cómo el «escaneo ciego» te deja vulnerable
El problema se agrava cuando tu móvil está configurado para abrir enlaces automáticamente tras escanear. La cámara detecta el QR, muestra una notificación genérica y en un toque ya estás dentro. No ves el dominio completo, no hay tiempo para verificar.
Los atacantes explotan esto con QR físicos: stickers falsos sobre códigos legítimos en 200 locales causaron pérdidas de 2.3 millones de dólares en 2025. Pegatinas impresas tapan el QR original en mesas de restaurante, cajeros, postes publicitarios. Escaneas pensando que es oficial y acabas en una réplica perfecta del sitio real que roba tus credenciales.
La clave está en que 90% de ataques QR buscan robar credenciales: usuario, contraseña, datos bancarios. Sitios que imitan Netflix, correos corporativos o pagos de multas. Todo se ve legítimo hasta que introduces tus datos.
Activar preview de enlaces en Android e iOS
Más allá del susto, existe una solución simple que pocos activan. Tanto Android como iOS muestran el enlace completo antes de abrirlo, pero depende de cómo configures el escaneo. Esta función revela el dominio real del sitio al que te llevaría el código.
En Android (Google Lens):
- Abre la app de Google o descarga Google Lens desde Play Store
- Accede a Configuración > Lens > desactiva «Abrir URLs automáticamente»
- Al escanear, Lens mostrará el enlace en un recuadro emergente durante 3-5 segundos antes de redirigir
- Revisa que el dominio coincida con el sitio esperado (ej:
mercadona.esvsmercad0na-ofertas.xyz)
En iPhone (Cámara nativa):
- Ve a Ajustes > Cámara > activa «Escanear códigos QR» (si estaba desactivado)
- La cámara mostrará notificación con URL completa visible en la parte superior
- No toques inmediatamente: lee el dominio completo antes de confirmar
- Si el enlace parece sospechoso, cierra la notificación sin tocar
Este mecanismo transforma el escaneo reactivo en decisión informada. Ves banco-santander-verificacion.tk y sabes que Santander jamás usaría dominio .tk (extensión gratuita favorita de estafadores).
Señales de que un QR te quiere engañar
Identificar un código malicioso antes de escanearlo añade una capa extra. El 26% de enlaces maliciosos en campañas phishing se escondieron en QR durante 2023-2024, pero su presentación delata intenciones.
Indicadores físicos de QR fraudulentos:
- Sticker pegado sobre superficie (no impreso directamente)
- Calidad de impresión inferior al resto del material
- QR en lugares inesperados (baños públicos, postes de luz sin contexto)
- Mensaje urgente tipo «Escanea para evitar multa» o «Verificación obligatoria»
Indicadores digitales tras preview:
- Dominio con caracteres extraños:
Opor0, guiones múltiples, extensiones raras (.tk,.xyz,.top) - URL acortada sin contexto (bit.ly, tinyurl) en sitios oficiales que nunca las usan
- Solicitud inmediata de credenciales sin autenticación previa
- Sitio que imita diseño oficial pero con errores ortográficos
Esto revela algo importante sobre cómo funciona el fraude digital en 2026: la velocidad de decisión es tu mayor enemigo. Los atacantes cuentan con que actúes por impulso. Ralentizar dos segundos el proceso mediante preview del enlace neutraliza el 90% de intentos.
Qué hacer si ya escaneaste un QR sospechoso
Mirando adelante, el ecosistema QR seguirá creciendo: pagos, menús, acceso a eventos, documentación. Kaspersky y Microsoft anticipan que los ataques subirán otro 25% en 2026 respecto a 2025. Configurar el preview es defensa básica, pero hay pasos adicionales.
Si escaneaste un código y el sitio pide datos sensibles:
- No introduzcas nada: cierra inmediatamente navegador y pestaña
- Cambia contraseñas si llegaste a ingresar credenciales (prioriza email y banca)
- Escanea tu móvil con antivirus actualizado (Malwarebytes, Kaspersky, Bitdefender)
- Revisa apps instaladas recientemente por si descargaste algo sin notarlo
Preguntas clave para entenderlo todo
P: ¿Los QR en emails corporativos legítimos son seguros?
R: Solo si verificas el dominio del remitente y el enlace coincide con sitio oficial de la empresa.
P: ¿Activar preview ralentiza el escaneo?
R: Añade 2-3 segundos de verificación visual, pero elimina riesgo de apertura automática.
P: ¿Debo instalar app específica de seguridad QR?
R: No necesario si activas preview nativo; apps terceras añaden capa pero consumen recursos.
P: ¿Es seguro escanear QR en lugares públicos?
R: Solo si están impresos directamente (no stickers) y el contexto tiene sentido (menú de restaurante en mesa, no en baño).
