Egidio
Dossier · 2026

Códigos QR falsos y quishing

Un código QR no tiene una dirección visible — eso es justo lo que lo vuelve una herramienta de fraude conveniente. Esto es lo que documentan el FBI y la FTC sobre este vector en expansión.

Una alerta oficial, no un rumor

FBI — Internet Crime Complaint Center (IC3), alerta PSA250731

Publicada el 31 de julio de 2025, esta alerta describe un esquema preciso: paquetes no solicitados entregados a personas, que contienen una nota con un código QR que invita a escanearlo "para más información" — una forma de iniciar esquemas de fraude a través de un intermediario físico inesperado.

FTC (Federal Trade Commission) — alertas al consumidor

La FTC publicó dos alertas distintas sobre este tema: en diciembre de 2023, sobre estafadores que esconden enlaces maliciosos en códigos QR; en enero de 2025, una alerta específica sobre códigos QR recibidos junto con paquetes inesperados, que redirigen a sitios de phishing diseñados para robar credenciales o números de tarjeta bancaria.

82.6%
De los correos de phishing analizados usaban IA generativa, un aumento del 53.5% en un año — el contexto más amplio en el que se inscribe el auge del quishing.
KnowBe4, 2025 Phishing Threat Trends Report. Consultado el 14/07/2026.

Por qué funciona este vector

Un enlace clásico en un correo se puede pasar el cursor por encima para verificar la dirección antes de dar clic. Un código QR no: hay que escanearlo para descubrir a dónde lleva, y la cámara del teléfono oculta el paso de verificación que mucha gente aprendió para los enlaces de texto. Justo por eso la FTC y el FBI apuntan específicamente a este vector en sus alertas recientes — paquetería, parquímetros, carteles en espacios públicos: el soporte físico da una legitimidad que el enlace solo no tendría.

🔒 Un enlace escondido detrás de un código QR casi siempre redirige después a un SMS de confirmación o a una llamada de "verificación" — ahí es donde interviene Egidio, conectando lo que pasa después del escaneo con los demás canales. Ve el reporte mundial de fraudes.

Preguntas frecuentes

¿Qué es el quishing?

Una combinación de "QR code" y "phishing": una estafa donde un código QR falso, muchas veces pegado sobre un objeto real (paquete, parquímetro, cartel), redirige a la víctima a un sitio fraudulento en lugar del sitio legítimo.

¿De verdad el FBI alertó sobre este tema?

Sí. El centro de denuncias del FBI (IC3) publicó el 31 de julio de 2025 una alerta específica sobre paquetes no solicitados entregados a personas, con códigos QR usados para iniciar esquemas de fraude.

¿Cómo detectar un código QR falso?

Desconfía siempre de un código QR recibido por correo, pegado sobre un soporte ya existente, o acompañado de un mensaje que genera urgencia. El gesto más seguro: nunca escanear un código QR inesperado, y verificar la dirección que aparece antes de continuar si de todos modos lo escaneas.

Para profundizar