Egidio
Informe · 2026

Códigos QR falsos y quishing

Un código QR no tiene una dirección visible — y eso es precisamente lo que lo convierte en una herramienta de fraude tan práctica. Esto es lo que documentan el FBI y la FTC sobre este vector en expansión.

Una alerta oficial, no un rumor

FBI — Internet Crime Complaint Center (IC3), alerta PSA250731

Publicada el 31 de julio de 2025, esta alerta describe un esquema concreto: paquetes no solicitados entregados a particulares, con una nota que incluye un código QR que invita a escanearlo "para más información" — una forma de iniciar esquemas de fraude a través de un intermediario físico inesperado.

FTC (Federal Trade Commission) — alertas al consumidor

La FTC ha publicado dos alertas distintas sobre este tema: en diciembre de 2023, sobre los estafadores que ocultan enlaces maliciosos en códigos QR; en enero de 2025, una alerta específica sobre los códigos QR recibidos junto a paquetes inesperados, que redirigen a sitios de phishing diseñados para robar credenciales o números de tarjeta bancaria.

82,6 %
De los correos de phishing analizados usaban IA generativa, un aumento del 53,5 % en un año — el contexto más amplio en el que se inscribe el auge del quishing.
KnowBe4, 2025 Phishing Threat Trends Report. Consultado el 14/07/2026.

Por qué funciona este vector

Un enlace clásico en un correo se puede pasar el ratón por encima para comprobar la dirección antes de hacer clic. Un código QR, no: hay que escanearlo para descubrir adónde lleva, y la cámara del teléfono oculta el paso de verificación que muchas personas han aprendido a aplicar con los enlaces de texto. Es exactamente por eso por lo que la FTC y el FBI se centran específicamente en este vector en sus alertas recientes — paquetes, parquímetros, carteles en espacios públicos: el soporte físico aporta una legitimidad que el enlace por sí solo no tendría.

🔒 Un enlace oculto tras un código QR casi siempre acaba en un SMS de confirmación o una llamada de "verificación" a continuación — ahí es donde interviene Egidio, conectando lo que ocurre después del escaneo con los demás canales. Ver el informe mundial de las estafas.

Preguntas frecuentes

¿Qué es el quishing?

Una contracción de «QR code» y «phishing»: una estafa en la que un código QR falso, a menudo pegado sobre un soporte real (paquete, parquímetro, cartel), redirige a la víctima a un sitio fraudulento en lugar del sitio legítimo.

¿El FBI ha alertado realmente sobre este tema?

Sí. El centro de denuncias del FBI (IC3) publicó el 31 de julio de 2025 una alerta específica sobre paquetes no solicitados que contienen códigos QR utilizados para iniciar esquemas de fraude.

¿Cómo detectar un código QR falso?

Desconfianza sistemática ante un código QR recibido por correo, pegado sobre un soporte existente, o que acompaña a un mensaje que genera urgencia. El gesto más seguro: no escanear nunca un código QR inesperado y comprobar la dirección que aparece antes de seguir adelante si aun así lo escaneas.

Para saber más