Hace unos años escaneabas un código QR y era algo casi anecdótico. Hoy los tienes en todas partes: en la mesa del bar, en el parquímetro de la calle, en el cartel del museo, en el correo del banco. Se han normalizado tan rápido que la mayoría de personas los escanea sin pensarlo dos veces. Y eso, exactamente eso, es lo que están aprovechando los estafadores.
Las estafas con códigos QR no son nuevas, pero en 2026 han dado un salto importante en España. Los casos reportados han aumentado y las técnicas se han vuelto más sofisticadas. Lo preocupante no es solo la cantidad sino el lugar donde aparecen: ya no hablamos de correos sospechosos que llegan al spam. Hablamos de códigos pegados en sitios físicos donde nunca sospecharías que hay trampa.
El problema con los QR que nadie te explica
Cuando recibes un enlace por WhatsApp o por correo, puedes leerlo antes de abrirlo. Puedes ver si el dominio es raro, si hay algo que no cuadra. Con un código QR eso no existe. Escaneas, y ya estás dentro antes de haber podido analizar nada.
Esa es la ventaja que tienen los estafadores. No necesitan convencerte de que hagas clic en un enlace sospechoso. Solo necesitan que escanees algo que parece estar en el sitio correcto.
Dónde y cómo te pueden engañar
Una pegatina encima del código original
Es la técnica más usada en espacios físicos y la más difícil de detectar si no sabes lo que buscas. El estafador imprime una pegatina con su propio código QR y la coloca encima del original: en la mesa de un restaurante, en el parquímetro, en una máquina de tickets, en puntos de recarga eléctrica.
Tú escaneas pensando que vas a ver la carta o a pagar el parking. En realidad estás en una página falsa que imita a la original. Si introduces tus datos de tarjeta ahí, los tienes perdidos.
Antes de escanear cualquier código en un sitio físico, míralo de cerca. Si tiene bordes irregulares, parece una pegatina encima de algo o está mal alineado con el resto del soporte, no lo uses. Busca otra forma de acceder al servicio.
El QR que llega por correo o SMS
Los filtros de spam son cada vez mejores detectando enlaces maliciosos en correos electrónicos. Pero un código QR dentro de un correo es solo una imagen, y los filtros no saben adónde lleva.
Por eso los estafadores han empezado a sustituir los enlaces directos por códigos QR en sus campañas de phishing. Recibes un correo que parece de tu banco, de Correos o de la Agencia Tributaria, con un QR que debes escanear para «verificar tu identidad» o «consultar un aviso importante». Escaneas con el móvil y acabas en una página falsa.
La regla aquí es sencilla: ninguna entidad oficial te va a pedir que escanees un código QR desde un correo para gestionar algo urgente. Si recibes algo así, ve directamente a la web oficial desde el navegador y comprueba si hay algún aviso real.
El QR en anuncios de alquiler o compraventa
Alguien publica un piso en alquiler a buen precio, un coche de segunda mano o cualquier otro producto con fotos atractivas. En el anuncio hay un código QR para «ver más fotos», «hacer la visita virtual» o «reservar». El código lleva a una página que roba tus datos o directamente te pide un pago para «confirmar el interés».
Nunca escanees un QR en un anuncio de alquiler o compraventa sin haber verificado antes que la persona o empresa que lo publica es real.
La multa falsa en el parabrisas
Esta es más reciente y más agresiva. Encuentras en el parabrisas de tu coche un papel que imita una multa de tráfico, con logo oficial y todo. Incluye un código QR para «pagar online» o «consultar el expediente». Escaneas, introduces tus datos bancarios para pagar, y ya está.
Las multas de tráfico reales en España no funcionan así. Nunca se notifican con un papel en el parabrisas que incluya un código QR para pagar. Si encuentras algo así, es una estafa directa.
El negocio o servicio que solo acepta pago por QR
El estafador monta un servicio aparentemente normal y en el momento del pago te ofrece un código QR. El código lleva a una pasarela de pago falsa o directamente a una solicitud de Bizum o criptomonedas. Una vez que pagas, el servicio o el dinero desaparecen.
Señales que deben hacerte parar antes de escanear
Hay cosas concretas en las que fijarte antes de sacar el móvil:
El código tiene aspecto de pegatina o está mal pegado encima de algo. En ese caso no lo uses y busca otra forma de acceder.
Cuando escaneas y antes de que se abra la página, tu móvil te muestra la URL de destino. Léela. Si el dominio no corresponde a lo que deberías estar accediendo, si tiene caracteres raros o si parece una URL generada aleatoriamente, cierra sin entrar.
Si el QR llega acompañado de un mensaje de urgencia del tipo «tienes 24 horas» o «actúa antes de que se bloquee tu cuenta», es manipulación. Las entidades reales no funcionan así.
Y si el código viene en un correo, un SMS o un mensaje directo que no has solicitado, independientemente de quién diga ser el remitente, no lo escanees.
Cómo protegerte de forma práctica
Lo más útil que puedes hacer es aplicar el mismo criterio que ya tienes con los enlaces sospechosos pero trasladarlo a los códigos QR. Si no harías clic en un enlace raro, no escanees un QR del que no estás seguro.
En entornos físicos, examina el soporte antes de escanear. Comprueba que el código es parte del material original y no algo pegado encima.
Después de escanear y antes de entrar, lee la URL que aparece en pantalla. Si no la reconoces o algo te genera dudas, cancela y verifica el servicio por otro camino.
Nunca introduzcas datos bancarios o contraseñas en una página a la que has llegado a través de un código QR sin haber comprobado que es legítima. Si necesitas pagar algo, es más seguro ir directamente a la web oficial del servicio desde el navegador.
Mantén el sistema operativo de tu móvil actualizado. Muchas vulnerabilidades que permiten que una página web maliciosa cause daño real se explotan en versiones desactualizadas.
Si quieres saber más sobre cómo identificar páginas web fraudulentas antes de introducir tus datos, puedes leer nuestro artículo sobre cómo saber si una web es segura y nuestra guía sobre cómo detectar correos de phishing.
También puedes consultar las alertas y recursos del Instituto Nacional de Ciberseguridad en incibe.es.
Si ya has caído en una de estas estafas
Lo primero es actuar rápido. Si introdujiste datos bancarios, llama a tu banco ahora mismo para bloquear la tarjeta y revisar si ha habido algún movimiento. No esperes a ver si pasa algo: bloquea primero y revisa después.
Si introdujiste una contraseña, cámbiala de inmediato desde la web oficial del servicio y activa la verificación en dos pasos si aún no la tenías.
Después denuncia ante la Policía Nacional con todo lo que tengas: fotos del código QR si es posible, capturas de la página a la que te llevó y cualquier dato relevante. Si el código estaba en un lugar público, avisa también al establecimiento para que lo retiren y eviten más víctimas.
Preguntas frecuentes
¿Solo con escanear un QR pueden instalar algo en mi móvil? Escanear en sí no instala nada. El riesgo está en la página a la que te lleva. Si esa página contiene código malicioso y tu sistema operativo tiene vulnerabilidades sin parchear, puede ser un problema. Por eso las actualizaciones importan.
¿Cómo veo adónde lleva un QR antes de entrar? La mayoría de cámaras y apps de lectura de QR muestran la URL antes de abrirla. Es ese momento el que debes aprovechar para decidir si entras o no.
¿Los QR de los restaurantes son seguros? Generalmente sí, pero comprueba que no hay una pegatina encima del código original. Si la URL que aparece al escanear no tiene nada que ver con el nombre del restaurante, no introduzcas ningún dato.
¿Las multas reales en España incluyen códigos QR? No de la forma descrita en las estafas. Las notificaciones oficiales de multas llegan por correo postal o a través del sistema de notificaciones electrónicas de la DGT, no con un papel en el parabrisas con un QR para pagar online.
¿Puedo hacer algo si encuentro un QR falso pegado en un sitio público? Sí. Avisa al establecimiento o entidad afectada para que lo retiren y denuncia ante la Policía Nacional. Estás ayudando a evitar que otras personas caigan en la misma trampa.
Este contenido es informativo y no sustituye el asesoramiento profesional en materia legal o de seguridad digital.
✍️ Artículo elaborado por el Equipo NexoDigital
