Quishing en España 2026: cómo te estafan con códigos QR falsos

Son las 9:17 de la mañana en el centro de Barcelona. Un ejecutivo aparca su coche de empresa en una calle de l’Eixample. Se acerca al parquímetro. Busca la pegatina con el código QR para pagar desde el móvil —como ha hecho cientos de veces—. Escanea. Se abre una web con los colores del Ayuntamiento. Introduce los datos de su tarjeta corporativa Visa. Pulsa «Pagar 2,40 €».

En ese instante, a 3.200 kilómetros de distancia, un servidor en Moldavia acaba de registrar su número de tarjeta, su CVV, su fecha de caducidad y su nombre completo. En los siguientes 47 minutos, los ciberdelincuentes realizarán cuatro compras online por un total de 1.890 euros antes de que el banco bloquee la tarjeta.

El ejecutivo nunca sospechó nada. La pegatina del QR malicioso estaba perfectamente alineada sobre el QR legítimo. La web falsa era una réplica pixel a pixel del sistema de pago municipal. El candado HTTPS estaba presente. Todo parecía normal.

Esto es quishing. Y en 2026, España está en el epicentro.

El quishing —la combinación de «QR» y «phishing»— se ha convertido en una de las amenazas de ciberseguridad de más rápido crecimiento en el país. Los códigos QR fraudulentos aparecen pegados en parquímetros, mesas de restaurantes, estaciones de carga de vehículos eléctricos, paradas de autobús, buzones de correo e incluso en supuestas multas de tráfico colocadas en los parabrisas de los vehículos [1][3].

Según datos de la Policía Nacional, las denuncias por QRishing aumentaron un 300 % en 2025 respecto al año anterior [1]. A nivel global, los ataques de quishing se multiplicaron por cinco ese mismo año, y más de 4,2 millones de amenazas de phishing por QR fueron identificadas solo en el primer trimestre de 2025 [4][10].

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado en múltiples ocasiones del auge de esta técnica de ingeniería social que explota la confianza ciega que los usuarios depositan en los códigos QR tras la pandemia [2]. La Policía Nacional y la Guardia Civil han reportado un incremento significativo de denuncias relacionadas con códigos QR maliciosos en los primeros meses de 2026, especialmente en zonas turísticas y grandes ciudades como Madrid, Barcelona, Valencia y Málaga [1][3].

Como perito informático forense, cada vez analizo más casos en los que la víctima ni siquiera sabe cómo le robaron los datos. El quishing es especialmente peligroso porque el usuario no puede ver la URL destino antes de escanear el código, a diferencia de un enlace de texto donde al menos puede inspeccionar la dirección.

En esta guía exhaustiva —la más completa publicada en español sobre quishing— vamos a diseccionar esta amenaza desde todos los ángulos posibles: su historia, su funcionamiento técnico, los vectores de ataque más frecuentes, los casos reales documentados en España y en el extranjero, el análisis forense de los códigos QR maliciosos, las herramientas de detección, el marco legal aplicable, los protocolos de actuación si eres víctima y las estrategias de prevención tanto para empresas como para particulares.

Si has escaneado un QR sospechoso, si necesitas presentar una denuncia, o si simplemente quieres entender cómo protegerte, esta guía contiene todo lo que necesitas saber.

TL;DR: lo esencial en 60 segundos

Qué es el quishing: anatomía completa de la amenaza

Definición y origen del término

El quishing (también escrito QRishing o QR phishing) es una técnica de ciberataque que utiliza códigos QR como vector para conducir a las víctimas hacia páginas web fraudulentas, instalación de software malicioso o captura de credenciales personales y financieras.

El término fue acuñado por la comunidad de ciberseguridad internacional entre 2022 y 2023, como una contracción de las palabras «QR» (Quick Response, respuesta rápida) y «phishing» (la técnica clásica de suplantación de identidad mediante enlaces falsos). Aunque los primeros ataques documentados que usaban códigos QR se remontan a 2012, no fue hasta la explosión del uso de QR durante la pandemia de COVID-19 (2020-2022) cuando esta modalidad de estafa se convirtió en un problema de seguridad a escala global [4].

En el contexto del análisis forense digital, el quishing representa un desafío particular porque combina elementos del mundo físico (el código QR impreso) con infraestructuras digitales efímeras (dominios registrados con datos falsos, servidores en jurisdicciones de difícil cooperación policial y webs clonadas que desaparecen en horas).

Breve historia de los códigos QR

Para entender por qué el quishing funciona tan bien, conviene conocer la tecnología que lo hace posible.

1994 — Invención en Japón. El código QR fue inventado por Masahiro Hara, ingeniero de la empresa japonesa Denso Wave (subsidiaria de Toyota). Su objetivo original era rastrear componentes de automóviles en las cadenas de montaje de forma más rápida que con los códigos de barras unidimensionales tradicionales.

1997 — Estándar AIM (Automatic Identification Manufacturers). El formato QR se convirtió en un estándar de la industria, permitiendo su uso más allá de la automoción.

2000 — Estándar ISO/IEC 18004. La Organización Internacional de Normalización (ISO) adoptó el código QR como estándar internacional, consolidando su interoperabilidad global.

2002-2010 — Adopción en Japón y Asia. Los códigos QR se popularizaron en Japón para publicidad, transporte público y pagos móviles, mucho antes de que el resto del mundo los adoptara masivamente.

2010-2019 — Crecimiento lento en Occidente. En Europa y América, los QR se utilizaban esporádicamente en publicidad y marketing, pero su adopción era limitada. Muchos usuarios no tenían lectores de QR instalados o no sabían cómo usarlos.

2020-2022 — Explosión durante la pandemia. La COVID-19 cambió todo. Para evitar el contacto físico, restaurantes, comercios, museos, transportes y administraciones públicas adoptaron masivamente los códigos QR. Apple y Google integraron lectores de QR nativos en las cámaras de iOS y Android, eliminando la barrera de necesitar una app específica. De repente, escanear un QR se convirtió en un gesto cotidiano para millones de personas [2].

2023-2026 — Era del quishing. Los ciberdelincuentes identificaron esta nueva costumbre como una oportunidad. Si la gente escanea QR sin pensarlo, basta con colocar QR maliciosos en los lugares adecuados. Nace el quishing como amenaza masiva.

Estructura técnica de un código QR

Un código QR es una matriz bidimensional que codifica datos —texto, URLs, información de contacto, credenciales WiFi u otros datos— en un patrón de módulos (cuadrados blancos y negros) distribuidos en una rejilla cuadrada.

Anatomía de un código QR estándar

Versiones y capacidad

Los códigos QR existen en 40 versiones, desde la Versión 1 (21 × 21 módulos) hasta la Versión 40 (177 × 177 módulos). Cada versión superior añade 4 módulos por lado.

Para un ataque de quishing típico, donde el QR codifica una URL de entre 30 y 80 caracteres, basta con un código de Versión 3 o 4, que resulta compacto y fácil de imprimir en una pegatina pequeña.

Modos de codificación

Los códigos QR soportan cuatro modos estándar de codificación de datos:

1. Numérico: Solo dígitos (0-9). Máxima eficiencia para datos puramente numéricos como números de teléfono.
2. Alfanumérico: Dígitos, letras mayúsculas (A-Z) y un conjunto limitado de símbolos ($%*+-./: y espacio).
3. Byte (binario): Cualquier dato codificado en UTF-8 u otra codificación de bytes. Es el modo utilizado para URLs.
4. Kanji: Caracteres del juego japonés Shift JIS.

Los atacantes utilizan principalmente el modo byte para codificar URLs maliciosas, que pueden incluir cualquier carácter del conjunto ASCII extendido.

Corrección de errores Reed-Solomon

Una de las características más importantes —y más explotables— de los códigos QR es su sistema de corrección de errores basado en el algoritmo Reed-Solomon. Este sistema permite que el código siga siendo legible aunque parte de sus módulos estén dañados, manchados u ocultos.

¿Por qué es relevante para la seguridad? Porque la corrección de errores permite a un atacante modificar módulos individuales de un código QR legítimo —cambiando el color de píxeles específicos— para alterar la URL codificada, mientras que la redundancia del Reed-Solomon garantiza que el código sigue siendo escaneable. Esto significa que, en teoría, un atacante sofisticado podría manipular un QR existente sin sustituirlo completamente por una pegatina, aunque en la práctica la mayoría de los ataques optan por la pegatina superpuesta por ser mucho más sencillo [15].

Por qué el QR es el vector de ataque perfecto

La razón por la que el quishing es tan devastadoramente efectivo se puede resumir en un principio simple: los seres humanos no podemos leer un código QR a simple vista.

Cuando recibes un correo electrónico con un enlace sospechoso, puedes pasar el cursor por encima y ver la URL destino. Puedes detectar un dominio raro, un error tipográfico, una extensión de país inusual. Con un código QR, solo ves un cuadrado pixelado. No hay forma de distinguir un QR que apunta a parking.bcn.cat de uno que apunta a parkíng-bcn.malware.ru sin escanearlo primero.

Pero hay más factores que convierten al QR en un vector de ataque ideal:

1. Confianza ambiental. Un código QR pegado en un parquímetro municipal, en la mesa de un restaurante o en un cartel oficial transmite la misma confianza que el objeto donde está colocado. Si confías en el parquímetro, confías en el QR que tiene pegado. Los atacantes explotan esta transferencia de confianza del entorno físico al código digital.

2. Automatismo del usuario. Tras la pandemia, escanear un QR se ha convertido en un gesto automático, casi reflejo. La mayoría de los usuarios escanean sin pensar, sin cuestionar, sin verificar. Según estudios de usabilidad móvil, un usuario tarda una media de 3 segundos en escanear un QR y abrir la URL sin verificarla [4].

3. Evasión de filtros de seguridad. Los filtros anti-phishing de correo electrónico analizan enlaces de texto, pero no pueden analizar una imagen que contiene un código QR incrustado. Según Perception Point, el 89 % de los ataques quishing por email evaden los filtros de seguridad convencionales [10]. En enero de 2026, se detectó que el 12 % de los ataques quishing utilizaban códigos QR basados en texto ASCII en lugar de imágenes, creando un punto ciego adicional para los sistemas de detección [10].

4. Transición al móvil. El escaneo del QR traslada al usuario del canal de correo electrónico —donde puede existir protección corporativa— al navegador del teléfono móvil personal, que generalmente no está protegido por las defensas de red de la empresa. El 68 % de los ataques quishing se dirigen específicamente a dispositivos móviles [10].

5. Dificultad de inspección en móvil. Las pantallas pequeñas de los smartphones dificultan la inspección de URLs largas. Una URL fraudulenta como https://parking-bcn-ayuntamiento.com puede mostrarse truncada en el navegador móvil, ocultando las partes sospechosas del dominio.

6. Bajo coste y escalabilidad. Imprimir pegatinas con códigos QR maliciosos cuesta céntimos. Un solo atacante puede desplegar decenas de QR fraudulentos en una ciudad en una sola noche, afectando potencialmente a miles de víctimas.

7. Persistencia. A diferencia de un email de phishing que se puede retirar o bloquear centralizadamente, un QR físico pegado en un parquímetro seguirá activo hasta que alguien lo detecte y lo retire manualmente. Pueden pasar semanas o meses antes de que una pegatina fraudulenta sea descubierta.

8. Difícil atribución. Colocar una pegatina en la vía pública no deja apenas rastro. No hay registros de acceso, no hay logs de servidor que documenten quién puso la pegatina. La infraestructura digital detrás del ataque (dominios, servidores) suele estar registrada con datos falsos en jurisdicciones poco cooperativas.

Evolución del phishing al quishing

El quishing no surge de la nada. Es la evolución natural de una familia de ataques de ingeniería social que lleva décadas perfeccionándose:

La diferencia fundamental del quishing respecto a sus predecesores es que rompe la barrera entre el mundo físico y el digital. Mientras que el phishing tradicional vive exclusivamente en el ciberespacio, el quishing existe simultáneamente en ambos mundos: un objeto físico (la pegatina) conduce a un entorno digital (la web fraudulenta). Esta dualidad es lo que lo hace tan difícil de combatir.

Además, el quishing representa un cambio de paradigma en la sofisticación de los ataques. La integración de modelos de lenguaje (LLM) en la cadena de ataque permite generar textos acompañantes —cartas, correos, folletos— que son gramaticalmente impecables y personalizados para cada objetivo a gran escala [10].

Cómo funcionan los ataques quishing: 10 vectores de ataque detallados

Los ataques de quishing se manifiestan de múltiples formas. A continuación, analizamos en detalle los diez vectores de ataque más frecuentes documentados en España y a nivel internacional.

Vector 1: Pegatinas superpuestas en parquímetros

Nivel de riesgo: MUY ALTO | Frecuencia en España: MUY ALTA

Este es el vector más icónico y el que ha generado más alertas policiales en España durante 2025-2026.

Cómo funciona:

Ciudades afectadas en España: Madrid, Barcelona, Valencia, Málaga, Sevilla, Alicante y San Sebastián han reportado incidentes de este tipo entre 2025 y 2026. En Barcelona, la Guardia Urbana detectó más de 40 parquímetros con pegatinas fraudulentas en el distrito de l’Eixample en un solo operativo [1][3].

Importe medio sustraído por víctima: Entre 200 y 2.000 euros en compras online realizadas con los datos robados.

Vector 2: Multas de tráfico falsas en parabrisas

Nivel de riesgo: ALTO | Frecuencia en España: ALTA

Una de las variantes más elaboradas y psicológicamente efectivas.

Cómo funciona:

El atacante diseña un documento con apariencia oficial de multa de tráfico: membrete del Ayuntamiento o de la DGT, número de expediente ficticio, matrícula del vehículo (que el estafador copia del propio coche), motivo de la infracción y un código QR «para pagar con descuento por pronto pago del 50 %».

El documento se coloca en el parabrisas del vehículo, imitando la colocación habitual de las multas reales. La urgencia del mensaje («Pague en las próximas 24 horas para beneficiarse del descuento del 50 %») y el aspecto oficial del documento impulsan a la víctima a escanear el QR sin verificar la autenticidad de la multa.

Al escanear, la víctima accede a una web que imita la sede electrónica de la DGT o del ayuntamiento correspondiente, donde se solicitan los datos completos de la tarjeta de crédito o débito para realizar el supuesto pago [5].

El Ayuntamiento de Alicante fue una de las primeras administraciones en emitir una alerta pública oficial sobre esta modalidad de estafa, tras recibir múltiples denuncias de ciudadanos que encontraron multas falsas con QR en sus vehículos [5].

Vector 3: Cartas de menú falsas en restaurantes y bares

Nivel de riesgo: ALTO | Frecuencia en España: MEDIA-ALTA

Desde la pandemia, la inmensa mayoría de restaurantes, bares y cafeterías españolas utilizan códigos QR para mostrar su carta digital. Los ciberdelincuentes explotan esta normalización de varias maneras:

Modalidad 1 — Sustitución del QR en mesa: El atacante visita el restaurante como un cliente normal, identifica los QR de las mesas (normalmente pegatinas adhesivas o soportes de metacrilato) y los sustituye por QR maliciosos. El QR fraudulento puede redirigir a una web que:

• Muestra la carta real del restaurante (para no levantar sospechas) pero ejecuta código malicioso en segundo plano
• Solicita datos de pago para «reservar mesa» o «pedir por adelantado»
• Descarga una app maliciosa que simula ser la app del restaurante

Modalidad 2 — QR con trampa de WiFi: El QR malicioso conecta automáticamente el dispositivo a una red WiFi controlada por el atacante (ataque de «evil twin»). A través de esta red, el atacante puede interceptar todo el tráfico no cifrado del dispositivo, incluyendo credenciales de acceso y datos bancarios.

Modalidad 3 — Suscripción a servicios premium: INCIBE documentó un caso real en el que una víctima, tras escanear un QR malicioso en un establecimiento, fue suscrita sin su conocimiento a un servicio de SMS premium que generó cargos recurrentes en su factura telefónica [2].

El riesgo en hostelería es particularmente alto porque los clientes están relajados, no esperan un ataque de ciberseguridad mientras cenan, y la interacción con el QR forma parte de la experiencia habitual del servicio.

Vector 4: Estaciones de carga de vehículos eléctricos

Nivel de riesgo: ALTO | Frecuencia en España: MEDIA

El crecimiento exponencial de la movilidad eléctrica en España ha creado un nuevo nicho para los estafadores de quishing.

Cómo funciona:

En las estaciones de carga (electrolineras), muchos operadores como Repsol, Iberdrola, Wenea y Zunder ofrecen la posibilidad de iniciar la carga escaneando un QR pegado en el poste de carga. Los estafadores colocan pegatinas fraudulentas sobre estos QR que:

• Redirigen a una pasarela de pago falsa que imita la del operador de carga
• Ofrecen «carga rápida remota por 15 €» facilitando un número de WhatsApp para realizar el pago (que no tiene ninguna relación con una compañía eléctrica real)
• Instalan una app maliciosa que solicita los datos de la tarjeta de crédito vinculada a la cuenta de carga

Este vector es especialmente efectivo porque los conductores de vehículos eléctricos están acostumbrados a interactuar con múltiples apps y sistemas de pago diferentes en las electrolineras, y no siempre conocen el aspecto exacto de la interfaz legítima de cada operador [6].

En España se han detectado pegatinas fraudulentas en estaciones de carga de la costa mediterránea y en estaciones de servicio de autopistas de Madrid, Barcelona y Valencia [6].

Vector 5: Correo electrónico corporativo con QR

Nivel de riesgo: CRÍTICO | Frecuencia global: MUY ALTA

Este vector representa la mayor amenaza para empresas y organizaciones, y es el que más ha crecido en 2025-2026.

Cómo funciona:

Los atacantes envían correos electrónicos que contienen un código QR —ya sea incrustado en el cuerpo del mensaje o en un documento adjunto (PDF o Word)— en lugar de un enlace de texto clásico. El correo simula comunicaciones internas de la empresa:

• Autenticación multifactor (MFA): «Escanee este QR para verificar su identidad y renovar su acceso a Microsoft 365»
• Recursos Humanos: «Actualice su información fiscal para la nómina de este mes escaneando el código»
• Sistemas internos: «Su contraseña caduca en 24 horas. Escanee para renovarla»
• Facturación: «Descargue su factura escaneando el QR adjunto»

¿Por qué funciona tan bien en entornos corporativos?

Los filtros de seguridad de correo electrónico (Secure Email Gateways, SEG) están diseñados para analizar enlaces de texto, no imágenes. Cuando el enlace malicioso está codificado dentro de una imagen QR, los filtros no pueden extraerlo ni verificarlo contra listas negras. Según estudios de Abnormal Security, el 72 % de las empresas recibieron ataques de quishing en 2025 [9].

INCIBE ha detectado campañas específicas de quishing corporativo donde los atacantes utilizan cuentas de correo comprometidas para personalizar el nombre del remitente y los asuntos en función de la organización y del destinatario, lo que aumenta drásticamente la tasa de éxito [2].

Los directivos y ejecutivos C-level son 40 veces más propensos a ser objetivo de ataques quishing que el empleado medio, debido al mayor valor de sus credenciales y su acceso a información sensible [10].

Vector 6: Correo postal fraudulento

Nivel de riesgo: ALTO | Frecuencia en España: MEDIA-ALTA

La novedad de este vector es que utiliza el correo postal físico —un canal que la mayoría de las personas considera seguro y fiable— para distribuir códigos QR maliciosos.

Cómo funciona:

Los atacantes envían cartas con membrete oficial que simulan comunicaciones de:

• La Agencia Tributaria (Hacienda): «Regularice su declaración pendiente escaneando este código»
• Compañías eléctricas (Endesa, Iberdrola, Naturgy): «Descargue su factura pendiente de pago»
• Empresas de telecomunicaciones (Movistar, Vodafone): «Active su nueva tarifa escaneando el QR»
• Entidades bancarias: «Verifique su identidad para cumplir con la normativa PSD2»
• Correos y empresas de paquetería: «Su paquete está retenido en aduanas. Pague las tasas escaneando el código»

Las cartas incluyen elementos de urgencia («Plazo: 5 días hábiles») y consecuencias negativas («Recargo del 20 % por impago»). El tono formal, la calidad de la impresión y la inclusión de datos personales reales (nombre, dirección, a veces incluso el NIF) hacen que las cartas sean muy convincentes.

Este vector es especialmente peligroso para personas mayores, que confían más en el correo postal que en el digital y que pueden no estar familiarizadas con las precauciones de ciberseguridad [2][5].

El medio COPE reportó en febrero de 2026 que esta modalidad de quishing «asalta los buzones» de España, con campañas masivas de envío postal detectadas en las principales ciudades [5].

Vector 7: Paquetes de mensajería con QR

Nivel de riesgo: MEDIO | Frecuencia en España: MEDIA

El crecimiento del comercio electrónico ha normalizado la recepción constante de paquetes en los hogares españoles. Los estafadores explotan esta costumbre de dos maneras:

Modalidad 1 — Nota adhesiva en el buzón: El atacante deja una nota en el buzón simulando un aviso de entrega de un paquete: «No hemos podido entregarle su paquete. Escanee el QR para reprogramar la entrega». El QR redirige a una web que solicita datos personales y bancarios con la excusa de «pagar los gastos de reenvío».

Modalidad 2 — Paquete físico con QR: El FTC (Federal Trade Commission) de EE. UU. alertó en 2025 sobre una modalidad en la que los atacantes envían paquetes reales no solicitados que contienen un código QR. La curiosidad del destinatario —«¿quién me envía esto?»— le impulsa a escanear el QR, que conduce a una web maliciosa.

Vector 8: Portales WiFi en hoteles, aeropuertos y espacios públicos

Nivel de riesgo: MEDIO-ALTO | Frecuencia en España: MEDIA

Muchos establecimientos ofrecen acceso WiFi gratuito mediante códigos QR que conducen a un «portal cautivo» donde el usuario debe registrarse antes de conectarse.

Cómo funciona:

El atacante crea un punto de acceso WiFi falso (ataque «evil twin» o «gemelo malvado») con un nombre similar al legítimo —por ejemplo, «Hotel_Playa_WiFi_Guest» frente al legítimo «Hotel_Playa_WiFi»— y coloca pegatinas con QR que conectan automáticamente al usuario a la red falsa.

Una vez conectado a la red del atacante:

• Todo el tráfico HTTP (no cifrado) es interceptable
• Se pueden inyectar páginas falsas de inicio de sesión para servicios como Gmail, Facebook o banca online
• Se pueden realizar ataques man-in-the-middle para capturar credenciales incluso en conexiones HTTPS mediante técnicas de SSL stripping

Vector 9: Terminales de pago y TPV manipulados

Nivel de riesgo: ALTO | Frecuencia en España: BAJA-MEDIA

Algunos comercios pequeños que aceptan pagos mediante QR (por ejemplo, a través de Bizum o plataformas similares) pueden ser objetivo de atacantes que sustituyen el QR de pago del comercio por uno que redirige los fondos a la cuenta del estafador.

En esta modalidad, el perjudicado directo es el comerciante, que no recibe el pago, aunque indirectamente el cliente también puede verse afectado si el QR además de redirigir el pago captura datos adicionales.

Vector 10: Publicidad en vía pública y transporte

Nivel de riesgo: MEDIO | Frecuencia en España: BAJA-MEDIA

Carteles publicitarios en paradas de autobús, estaciones de metro, marquesinas y vallas publicitarias que incluyen códigos QR para «más información» o «descarga la app» son susceptibles de ser manipulados.

El atacante pega un QR fraudulento sobre el legítimo del anuncio. La víctima, al escanear, cree que accede a la promoción anunciada pero es redirigida a una web maliciosa. Este vector es particularmente efectivo en campañas publicitarias de gran cobertura donde los usuarios asumen legitimidad por la escala del anuncio.

Estadísticas y tendencia global del quishing

Crecimiento explosivo de los ataques

Las cifras del quishing son alarmantes y muestran un crecimiento exponencial en los últimos tres años:

Ataques por sector

Los sectores más afectados por el quishing corporativo durante 2025-2026 a nivel global son:

Comparativa por país

Evolución temporal

La evolución temporal del quishing muestra un patrón de crecimiento acelerado:

• 2021: Primeros informes aislados de códigos QR maliciosos. Menos de 5.000 incidentes reportados globalmente.
• 2022: HP Wolf Security documenta un crecimiento del 270 % en ataques de phishing por QR.
• 2023: Los ataques se profesionalizan. Aparecen kits de quishing-as-a-service en la dark web.
• 2024: Explosión en entornos corporativos. QR maliciosos en emails se multiplican por cuatro.
• 2025: Quintuplicación global. 4,2 millones de amenazas identificadas solo en Q1. España registra un +300 % en denuncias [1][4].
• 2026 (Q1): Nuevas técnicas emergen: QR basados en texto ASCII, uso de IA generativa para personalización masiva, y convergencia con ataques de SIM swapping y vishing [10].

Coste económico

El impacto económico del quishing es difícil de cuantificar con precisión porque muchas víctimas no denuncian o no relacionan la pérdida con el escaneo de un QR. Sin embargo:

• Coste medio por incidente individual: 200-5.000 euros (robo directo de fondos + costes de recuperación)
• Coste medio por brecha corporativa por quishing: 30.000- 250.000 euros (credenciales comprometidas, exfiltración de datos, respuesta a incidentes)
• Coste estimado global del quishing en 2025: superior a 1.000 millones de dólares (estimación basada en proyecciones de FBI IC3 y Europol)

Casos reales de quishing en España

Los casos documentados en España ilustran la diversidad y la creciente sofisticación de los ataques de quishing. A continuación detallo los más relevantes con fechas, ubicaciones y modus operandi.

Caso 1: Operación Parquímetro — Barcelona, 2025-2026

Ubicación: Distrito de l’Eixample, Barcelona Período: Noviembre 2025 — Febrero 2026 Víctimas estimadas: Más de 200

La Guardia Urbana de Barcelona detectó más de 40 parquímetros con pegatinas QR fraudulentas superpuestas sobre los códigos legítimos en el distrito de l’Eixample. Las pegatinas redirigían a una web que imitaba con precisión el sistema de pago del estacionamiento regulado del Ayuntamiento, incluyendo logotipos oficiales, colores corporativos y certificado SSL.

Los estafadores capturaban los datos de las tarjetas de crédito y realizaban compras online en comercios internacionales. La investigación reveló que los fondos se canalizaban a través de cuentas en neobancos lituanos y que la web fraudulenta estaba alojada en un servidor en Moldavia [1][3].

Se estima que más de 200 personas introdujeron sus datos bancarios antes de que las pegatinas fueran retiradas. El importe total sustraído supera los 180.000 euros.

Caso 2: Multas falsas DGT — Alicante, 2025

Ubicación: Centro urbano de Alicante y zona de playas Período: Septiembre-Noviembre 2025 Víctimas estimadas: 50-80

El Ayuntamiento de Alicante emitió una alerta pública tras recibir múltiples denuncias de ciudadanos que encontraron documentos con apariencia de multas de tráfico en sus parabrisas. Los documentos incluían un membrete que simulaba la Junta Municipal, un número de expediente ficticio, la matrícula real del vehículo y un código QR para «pagar con descuento del 50 % por pronto pago».

Al escanear el QR, las víctimas eran redirigidas a una web que imitaba la sede electrónica municipal y solicitaba los datos completos de la tarjeta bancaria. El Ayuntamiento recordó que las multas oficiales nunca se colocan en parabrisas con código QR y que los pagos se realizan exclusivamente a través de la sede electrónica oficial [5].

Caso 3: Cartas de Hacienda falsas — Múltiples ciudades, 2026

Ubicación: Madrid, Sevilla, Zaragoza, Bilbao Período: Enero-Marzo 2026 Víctimas estimadas: Más de 300

COPE informó en febrero de 2026 sobre una campaña masiva de cartas postales que simulaban comunicaciones de la Agencia Tributaria. Las cartas, de alta calidad de impresión, incluían el logotipo oficial de la AEAT, un número de referencia ficticio y un QR para «regularizar un pago pendiente de IRPF».

Las cartas incluían el nombre completo y la dirección postal del destinatario (datos posiblemente obtenidos de filtraciones previas de datos). Esta personalización aumentaba la credibilidad del engaño. La web fraudulenta, que imitaba la sede electrónica de la Agencia Tributaria, solicitaba datos bancarios completos incluyendo número de cuenta IBAN [5].

Caso 4: Restaurantes de zona turística — Málaga, 2025

Ubicación: Centro histórico y zona de playas de Málaga Período: Verano 2025 Víctimas estimadas: Desconocido (decenas de denuncias)

Durante la temporada alta turística de verano de 2025, la Policía Nacional detectó múltiples restaurantes y chiringuitos de la zona de Málaga donde los códigos QR de las mesas habían sido sustituidos por versiones fraudulentas.

La particularidad de este caso fue la sofisticación del ataque: los QR maliciosos mostraban primero la carta real del restaurante (descargada de la web legítima del establecimiento) y, después de unos segundos, desplegaban un pop-up que solicitaba datos de la tarjeta «para agilizar el pago». Algunos QR también activaban la descarga de un APK malicioso (un dropper de troyano bancario) en dispositivos Android [1].

Caso 5: Electrolineras de autopista — Costa mediterránea, 2025-2026

Ubicación: Estaciones de carga en AP-7 y A-7 Período: Octubre 2025 — Enero 2026 Víctimas estimadas: 30-50

Se detectaron pegatinas fraudulentas en estaciones de carga de vehículos eléctricos de varios operadores (Repsol, Wenea, Zunder) en estaciones de servicio de la autopista del Mediterráneo. Las pegatinas ofrecían un servicio de «carga rápida remota por 15 €» e incluían un número de WhatsApp para realizar el pago.

Los conductores que contactaban al número de WhatsApp recibían instrucciones para transferir dinero a una cuenta controlada por los estafadores a través de Bizum o transferencia bancaria. No se producía ninguna carga del vehículo [6].

Caso 6: Operación smishing-QR — Alicante, enero 2026

Ubicación: Alicante, Vega Baja Período: Operación policial cerrada en enero 2026 Detenidos: 14 personas

La Policía Nacional detuvo a 14 personas (11 hombres y 3 mujeres, con edades entre 22 y 52 años) por estafas continuadas que combinaban smishing con códigos QR fraudulentos. Los detenidos enviaban SMS masivos simulando comunicaciones de la DGT y de entidades bancarias, algunos de los cuales incluían códigos QR que redirigían a pasarelas de pago falsas.

Se esclarecieron más de 986 estafas con un perjuicio económico superior a 200.000 euros. Los cargos incluyeron estafa continuada, hurto, receptación, falsedad documental y pertenencia a organización criminal [3].

Caso 7: Suscripciones premium involuntarias — Caso INCIBE

Ubicación: España (caso anónimo publicado por INCIBE) Tipo: Caso real documentado en la línea 017

INCIBE documentó un caso en el que un ciudadano, tras escanear un código QR malicioso en un establecimiento público, fue suscrito sin su conocimiento a un servicio de SMS premium. Los cargos aparecían mensualmente en su factura telefónica y acumularon más de 200 euros antes de que la víctima los detectara y solicitara la baja [2].

Caso 8: QR en buzones — Campaña de facturas eléctricas falsas, 2025

Ubicación: Madrid, zona norte Período: Noviembre-Diciembre 2025

Vecinos de varios barrios de la zona norte de Madrid reportaron la recepción de cartas que simulaban ser comunicaciones de Endesa con una «factura pendiente de pago» y un QR para «acceder a la factura y realizar el pago inmediato». Las cartas advertían de «corte de suministro inminente» si no se regularizaba el pago en 48 horas.

La web fraudulenta replicaba el área de clientes de Endesa e incluía formularios para introducir datos bancarios, número de contrato (ficticio proporcionado en la carta) y datos personales.

Caso 9: Campaña QR en transporte público — Valencia, 2026

Ubicación: EMT Valencia, paradas de MetroValencia Período: Febrero-Marzo 2026

Se detectaron pegatinas QR fraudulentas en varias paradas del transporte público de Valencia que ofrecían «recargar la tarjeta Móbilis con descuento» escaneando el código. Las pegatinas estaban diseñadas para mimetizarse con la cartelería oficial de la EMT y la Autoridad de Transporte Metropolitano de Valencia.

Caso 10: Phishing QR bancario — Campaña nacional, 2025-2026

Ubicación: Todo el territorio nacional Período: Continuo desde mediados de 2025

Múltiples entidades bancarias españolas (CaixaBank, BBVA, Santander, Sabadell) han alertado a sus clientes sobre correos electrónicos que contienen códigos QR que supuestamente dirigen a la «verificación de seguridad de la cuenta» o a la «activación de la nueva normativa PSD2». Los correos reproducen fielmente la imagen corporativa de cada entidad e incluyen el nombre del cliente.

INCIBE ha publicado alertas específicas sobre estas campañas, recordando que las entidades bancarias nunca solicitan datos a través de códigos QR enviados por correo electrónico [2].

Casos internacionales destacados

El quishing no es exclusivo de España. A continuación, los casos internacionales más relevantes de 2024-2026.

Reino Unido: el caso de Thornaby Station

En la estación de Thornaby (Yorkshire), estafadores colocaron pegatinas con QR fraudulentos sobre los códigos legítimos del aparcamiento de la estación de tren. Una víctima acumuló deudas de 13.000 libras esterlinas, incluyendo un préstamo fraudulento de 7.500 libras contratado a su nombre con los datos robados [14].

Action Fraud, el centro nacional de denuncia de fraudes del Reino Unido, recibió 1.386 reportes de estafas con QR en 2024, un aumento del 1.286 % respecto a los 100 casos registrados en 2019 [14].

En una operación coordinada en 2024, grupos de crimen organizado en el Reino Unido desplegaron códigos QR fraudulentos en señales públicas como parquímetros y menús de restaurantes en múltiples ciudades británicas simultáneamente.

Estados Unidos: alerta del FBI y la FTC

El FBI y la Federal Trade Commission (FTC) han emitido múltiples alertas sobre el quishing en EE. UU.:

• Un estimado de 26 millones de estadounidenses han sido dirigidos a sitios maliciosos a través de QR falsos [14]
• El 73 % de los estadounidenses escanean QR sin verificación previa [14]
• El Departamento de Transporte de la Ciudad de Nueva York emitió una advertencia específica tras descubrir QR fraudulentos en parquímetros municipales [14]
• La FTC alertó sobre paquetes no solicitados con QR que conducen a webs maliciosas [14]
• En San Antonio, Texas, se descubrió una campaña que desplegó QR fraudulentos en más de 100 parquímetros del centro de la ciudad

Actores estatales: Corea del Norte y Rusia

El FBI alertó en enero de 2026 sobre campañas de spear phishing del grupo norcoreano Kimsuky que incluían códigos QR maliciosos embebidos en correos electrónicos dirigidos a objetivos de alto valor (diplomáticos, investigadores de defensa, periodistas) [14].

Actores vinculados a Rusia llevaron a cabo campañas de quishing dirigidas a miembros del Parlamento británico y su personal, según reportes de inteligencia del Reino Unido. Los QR conducían a páginas de inicio de sesión falsas de servicios gubernamentales [14].

Alemania: parquímetros y Deutsche Bahn

La Oficina Federal de Seguridad de la Información de Alemania (BSI) emitió alertas sobre campañas de quishing en parquímetros de Múnich, Berlín y Hamburgo, así como pegatinas fraudulentas en máquinas expendedoras de billetes de Deutsche Bahn (la compañía ferroviaria nacional).

Australia: transporte público y hostelería

En Sídney y Melbourne se detectaron campañas de QR maliciosos en estaciones de tren y restaurantes. La Australian Competition and Consumer Commission (ACCC) registró un incremento del 400 % en denuncias relacionadas con QR fraudulentos entre 2023 y 2025.

Francia: peajes de autopista

En la red de autopistas francesas (concesionarias como Vinci y APRR) se detectaron pegatinas QR fraudulentas en terminales de pago de peajes, que redirigían a los conductores a pasarelas de pago falsas simulando el sistema de telepeaje Télépéage.

China y Sudeste Asiático: fraude masivo en pagos QR

En China, donde los pagos por QR a través de WeChat Pay y Alipay están más extendidos que las tarjetas de crédito, el quishing ha adoptado formas particularmente sofisticadas. En 2024-2025 se documentaron:

• Campañas de sustitución de QR de pago en mercados y comercios callejeros de Shanghái, Pekín y Guangzhou, donde los estafadores reemplazaban el QR personal de los vendedores ambulantes por QR que dirigían los pagos a cuentas controladas por la organización criminal.
• Ataques mediante QR en bicicletas y patinetes de alquiler compartido que redirigían a apps de pago fraudulentas.
• Fraudes a gran escala en Tailandia y Vietnam dirigidos a turistas occidentales, con QR falsos en restaurantes y mercados nocturnos.

Comparativa internacional: madurez de respuesta

Lecciones de los casos internacionales

Los casos internacionales revelan patrones comunes que permiten anticipar la evolución del quishing en España:

1. Escalada en sofisticación: Los ataques pasan de pegatinas simples a campañas multi-fase con IA generativa y deepfakes de voz.
2. Profesionalización: Las organizaciones criminales especializadas en quishing operan como empresas, con roles diferenciados (desarrollo web, colocación física, blanqueo de fondos).
3. Internacionalización: La infraestructura del ataque (dominios, servidores, cuentas bancarias) se distribuye en múltiples jurisdicciones para dificultar la investigación policial.
4. Volumen como estrategia: El bajo coste de cada ataque permite desplegar miles de QR sabiendo que incluso una tasa de éxito del 1-2 % genera beneficios significativos.
5. Adaptación local: Los atacantes investigan los servicios locales (apps de parking, transporte público, operadores de carga) para crear réplicas convincentes adaptadas a cada mercado.

Psicología del quishing: por qué caemos en la trampa

Entender los mecanismos psicológicos que explotan los estafadores es fundamental tanto para la prevención como para la defensa legal de las víctimas (demostrar que no hubo «negligencia grave» conforme a la PSD2).

Principios de persuasión de Cialdini aplicados al quishing

Robert Cialdini identificó seis principios de influencia que los estafadores explotan sistemáticamente:

1. Autoridad. Las multas falsas de la DGT, las cartas de Hacienda, los QR en parquímetros municipales: todos explotan la apariencia de autoridad institucional. Si un documento parece provenir de una administración pública, el ciudadano tiende a obedecer sin cuestionar. Los estafadores replican logotipos, tipografías, números de expediente y lenguaje jurídico con una precisión que dificulta la detección del fraude incluso para usuarios experimentados.

2. Urgencia y escasez. «Pague en las próximas 24 horas para beneficiarse del descuento del 50 %». «Su cuenta será bloqueada si no verifica su identidad antes de las 23:59». «Último aviso antes de proceder al recargo». La urgencia artificial impide que la víctima se detenga a reflexionar, verificar o consultar con terceros. Actúa por impulso, guiada por el miedo a las consecuencias negativas de la inacción.

3. Compromiso y coherencia. Una vez que el usuario ha iniciado la interacción —ha sacado el móvil, ha abierto la cámara, ha escaneado el QR, ha esperado a que cargue la web—, la tendencia natural es completar la acción. El coste psicológico de «abandonar a mitad del proceso» es superior al de continuar, especialmente si la web parece legítima y el proceso se asemeja a experiencias previas reales.

4. Prueba social. En un restaurante lleno de gente donde otros clientes escanean QR para ver la carta, la víctima asume que el QR es seguro porque «todo el mundo lo hace». En un parquímetro donde se ve a otros conductores usando la app de pago, la normalidad del gesto refuerza la confianza.

5. Simpatía y familiaridad. Los QR se han convertido en un elemento familiar y cotidiano del paisaje urbano. No generan alarma. A diferencia de un correo electrónico en inglés con faltas de ortografía, un QR pegado en un lugar público transmite normalidad, seguridad y familiaridad.

6. Reciprocidad. Las estafas que ofrecen algo a cambio —un descuento, un regalo, una promoción, una carga gratuita— explotan el principio de reciprocidad. La víctima siente que está recibiendo un beneficio y que debe «corresponder» proporcionando sus datos.

Sesgos cognitivos explotados

Implicaciones legales de la psicología del quishing

Estos mecanismos psicológicos son relevantes desde el punto de vista legal porque demuestran que:

1. El engaño fue «bastante» (requisito del art. 248 CP): la sofisticación del ataque fue suficiente para engañar a una persona de diligencia media.
2. No hubo negligencia grave (PSD2): la víctima actuó dentro de los parámetros de comportamiento esperables para un usuario razonablemente diligente en el contexto donde se produjo el ataque.
3. La responsabilidad recae en el atacante, no en la víctima que fue manipulada mediante técnicas de ingeniería social profesionalmente ejecutadas.

El informe pericial debe documentar estos aspectos para fundamentar la defensa de la víctima tanto ante el banco como ante el tribunal.

Perfil de las víctimas

Los estudios sobre quishing revelan que no existe un perfil único de víctima. A diferencia de otras ciberestafas que afectan predominantemente a personas mayores o con baja alfabetización digital, el quishing afecta a:

Este dato es especialmente relevante para la defensa legal: si cualquier persona puede ser víctima —independientemente de su formación o experiencia digital—, difícilmente puede argumentarse negligencia grave.

Análisis técnico forense de códigos QR maliciosos

Esta sección va dirigida a profesionales de la ciberseguridad, peritos informáticos y equipos de respuesta a incidentes que necesitan analizar un código QR sospechoso o investigar un incidente de quishing.

Fase 1: Captura segura del código QR

Captura del QR físico:

• Fotografiar el código QR in situ con una cámara (no con el teléfono que va a ser analizado)
• Documentar la ubicación exacta (coordenadas GPS, dirección, fotos del entorno)
• Examinar si el QR es una pegatina superpuesta: bordes, grosor, adhesivo visible
• Si es posible, retirar la pegatina con cuidado preservándola en una bolsa de evidencia antiestática
• Calcular el hash criptográfico de las fotografías inmediatamente después de tomarlas

Captura del QR digital (email/documento):

• Preservar el email o documento completo con sus cabeceras originales
• Exportar como archivo .eml o .msg con metadatos intactos
• Calcular hash SHA-256 del archivo
• Analizar las cabeceras del email para identificar el servidor de origen

Fase 2: Decodificación del código QR

La decodificación se realiza sin escanear el QR con un dispositivo conectado a internet. Se utilizan herramientas offline de decodificación de imágenes:

Herramientas de decodificación offline:

Proceso de decodificación:

# Ejemplo con zbarimg en Linux/macOS
zbarimg --raw qr_sospechoso.png
# Salida: https://parkíng-bcn-ayuntamient0.com/pago/

El resultado muestra la URL o dato codificado en el QR sin necesidad de visitar la dirección. A partir de aquí, el análisis continúa sin interactuar con la URL.

Fase 3: Análisis de la URL extraída

Una vez obtenida la URL, se procede a un análisis exhaustivo sin visitarla directamente:

3a. Inspección del dominio

Ejemplo de análisis WHOIS:

$ whois parking-bcn-ayuntamient0.com

Domain Name: parking-bcn-ayuntamient0.com
Registry Domain ID: 2905483721_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Updated Date: 2025-11-02T14:22:31Z
Creation Date: 2025-10-28T09:15:42Z  ← Registrado 5 días antes
Registrar: NameCheap, Inc.
Registrant Organization: WhoisGuard, Inc.  ← Datos ocultos
Registrant Country: PA  ← Panamá

Señales de alerta:

• Dominio registrado muy recientemente (días o semanas antes del ataque)
• Datos del registrante ocultos tras servicios de privacidad
• Registradores conocidos por tolerancia con dominios fraudulentos
• País del registrante incoherente con el supuesto servicio
• Uso de TLD (.com, .net) en vez del TLD oficial del servicio suplantado (.gob.es, .cat, etc.)

3b. Análisis de la cadena de redirecciones

Los ataques de quishing sofisticados utilizan cadenas de redirecciones para ofuscar la URL final:

QR → hxxps://bit.ly/3xYz123
  → hxxps://redirect.tracking-service.com/r?id=abc
    → hxxps://parking-bcn-ayuntamient0.com/pago/
      → hxxps://evil-server.md/capture.php

Para analizar la cadena completa sin visitar las URLs:

3c. Análisis del payload (contenido malicioso)

Si la URL final está activa, se analiza en un entorno sandbox aislado:

Herramientas de sandbox:

Qué analizar en el payload:

• ¿Es una página de phishing? (formulario de login, pasarela de pago falsa)
• ¿Ejecuta JavaScript malicioso? (keyloggers, fingerprinting)
• ¿Descarga archivos? (APK, EXE, PDF con exploits)
• ¿Solicita permisos del dispositivo? (cámara, ubicación, accesibilidad)
• ¿Establece conexiones a servidores C2 (command & control)?
• ¿Intenta instalar un certificado raíz? (para ataques MITM posteriores)

Fase 4: Análisis forense del dispositivo de la víctima

Si el usuario ya escaneó el QR y visitó la URL maliciosa, es necesario realizar una extracción forense completa del dispositivo:

4a. Extracción forense del dispositivo móvil

4b. Artefactos clave a extraer

Navegador web (Chrome, Safari, Firefox):

• Historial de navegación: todas las URLs visitadas tras escanear el QR, incluyendo redirecciones intermedias
• Cookies y datos de sesión: tokens de autenticación capturados, credenciales almacenadas
• Caché de imágenes y recursos: capturas de la web fraudulenta almacenadas localmente
• Datos de formularios: credenciales y datos bancarios autocompletados o introducidos
• Descargas: archivos APK o ejecutables descargados

Sistema operativo:

• Registro de apps instaladas recientemente (timestamp)
• Permisos concedidos a apps (accesibilidad, administración de dispositivo, superposición)
• Registros de red: conexiones establecidas (IPs, puertos)
• Certificados SSL/TLS instalados por el usuario
• Registros de notificaciones push

Aplicaciones financieras:

• Registros de transacciones
• Notificaciones del banco almacenadas
• Tokens de autenticación

Registros del sistema:

• Logs de Android (logcat) o iOS (sysdiagnose)
• Eventos de conectividad WiFi/datos móviles
• Eventos de instalación/desinstalación de apps

Fase 5: Correlación y timeline forense

Con todos los artefactos recopilados, se construye una línea temporal completa del incidente:

[T+0:00] Víctima escanea QR en parquímetro (calle X, nº Y)
[T+0:02] Navegador Chrome abre hxxps://bit.ly/3xYz123
[T+0:02] Redirección a hxxps://parking-bcn-fake.com/pago/
[T+0:03] Carga completa de la página de phishing
[T+0:15] Víctima introduce datos tarjeta Visa ****1234
[T+0:16] POST a hxxps://evil-server.md/capture.php
[T+0:18] Redirección a parking.bcn.cat (web legítima) ← para no levantar sospechas
[T+0:47] Primera compra fraudulenta: 450 € en tienda online
[T+1:23] Segunda compra fraudulenta: 680 € en otra tienda
[T+2:05] Tercera compra: 310 € (intento rechazado por banco)
[T+2:07] Banco bloquea tarjeta por actividad sospechosa

Esta línea temporal es fundamental para el informe pericial y para demostrar ante el banco que la víctima actuó de buena fe y que el fraude se produjo en un intervalo de tiempo coherente con un ataque de quishing.

Fase 6: Análisis de la infraestructura del atacante

Cuando es posible (y con autorización judicial si procede), el análisis se extiende a la infraestructura utilizada por el atacante:

Investigación OSINT del dominio:

• Dominios relacionados registrados por el mismo titular o alojados en la misma IP (reverse IP lookup)
• Presencia del dominio en listas de phishing conocidas (PhishTank, OpenPhish)
• Capturas históricas del dominio en Wayback Machine
• Registros en CT logs (Certificate Transparency) para identificar todos los certificados emitidos para el dominio y subdominios

Análisis del servidor:

• Geolocalización del servidor (hosting provider)
• Otros dominios alojados en la misma IP (shared hosting)
• Puertos abiertos y servicios expuestos (Shodan, Censys)
• Tecnología del servidor (headers HTTP, CMS)

Trazabilidad financiera:

• Si se identifica una cuenta bancaria o wallet de criptomonedas del atacante, se puede iniciar un análisis de blockchain forense o solicitar cooperación bancaria mediante orden judicial.

Fase 7: Análisis físico del QR (impresión)

En investigaciones avanzadas, el propio código QR impreso puede ser sometido a análisis forense:

• Identificación de impresora: Mediante análisis microscópico de los patrones de puntos amarillos (yellow dot tracking) que muchas impresoras láser imprimen de forma invisible en cada página. Estos patrones pueden identificar la marca, modelo y número de serie de la impresora utilizada [15].
• Análisis del sustrato: El tipo de papel, adhesivo y laminado utilizado puede proporcionar pistas sobre el origen de la pegatina.
• Huella dactilar del láser: Investigadores han desarrollado redes neuronales convolucionales (PSINet) que pueden identificar la impresora de origen de una imagen QR escaneada con una precisión del 99,82 % [15].

Herramientas de detección y análisis de QR maliciosos

A continuación, una tabla exhaustiva de herramientas para diferentes perfiles de usuario: desde el ciudadano que quiere verificar un QR antes de escanearlo hasta el perito forense que necesita analizar un incidente completo.

Herramientas para ciudadanos y usuarios finales

Herramientas para profesionales de ciberseguridad

Herramientas para peritos informáticos forenses

Soluciones empresariales anti-quishing

Protocolo de actuación si has escaneado un QR malicioso

Si sospechas que has escaneado un código QR fraudulento o que has introducido datos en una web maliciosa tras escanear un QR, sigue estos pasos inmediatamente:

El perito informático forense ante el quishing

Por qué necesitas un perito informático en un caso de quishing

En los casos de estafa por quishing, el perito informático forense cumple un rol fundamental que no puede ser sustituido por la simple denuncia policial o la reclamación al banco:

1. Preservación de la evidencia. Las evidencias digitales son volátiles. La web fraudulenta puede desaparecer en horas. Los registros del navegador se pueden sobrescribir. El malware puede autoborrarse. El perito garantiza la preservación de todas las evidencias antes de que desaparezcan.

2. Cadena de custodia. Para que las evidencias digitales tengan valor probatorio en un procedimiento judicial, deben haber sido adquiridas y preservadas siguiendo una metodología forense rigurosa que garantice su integridad. El perito documenta cada paso del proceso conforme a la norma ISO 27037.

3. Prueba técnica para la reclamación bancaria. Bajo la PSD2, el banco debe reembolsar las operaciones no autorizadas salvo que demuestre negligencia grave del cliente. Sin un informe pericial técnico, el banco puede argumentar que el cliente fue negligente al introducir sus datos en una web fraudulenta. El informe pericial demuestra técnicamente cómo se produjo el engaño y que un usuario medio no habría podido detectarlo.

4. Valor probatorio en sede judicial. Si el caso llega a los tribunales —ya sea por la vía penal (denuncia contra los estafadores) o civil (reclamación al banco)— el informe pericial tiene valor de prueba pericial conforme a los artículos 335 a 352 de la Ley de Enjuiciamiento Civil.

Metodología forense para casos de quishing

La investigación pericial de un caso de quishing sigue una metodología estructurada en siete fases:

Fase 1: Recepción del caso y planificación

• Entrevista con el cliente para documentar los hechos
• Identificación de todas las fuentes de evidencia (dispositivos, cuentas, QR físicos)
• Determinación del alcance de la investigación
• Establecimiento de la cadena de custodia desde el primer momento
• Obtención de los consentimientos necesarios

Fase 2: Adquisición de evidencias

Fase 3: Análisis de la evidencia del dispositivo

• Extracción y análisis del historial de navegación
• Reconstrucción de la cadena de URLs visitadas (incluyendo redirecciones)
• Análisis de cookies y datos de sesión
• Verificación de apps instaladas tras el incidente
• Análisis de permisos concedidos
• Búsqueda de malware y artefactos maliciosos
• Análisis de registros de red
• Reconstrucción de la timeline forense

Fase 4: Análisis de la infraestructura del ataque

• Decodificación offline del QR
• Análisis WHOIS y DNS del dominio malicioso
• Análisis de la cadena de redirecciones
• Análisis del contenido de la web fraudulenta (sandbox)
• Identificación de la infraestructura de hosting
• Búsqueda de dominios relacionados
• Trazabilidad de la IP del servidor

Fase 5: Correlación y reconstrucción del incidente

• Construcción de la línea temporal completa del ataque
• Correlación entre las acciones del usuario y las transacciones fraudulentas
• Verificación de la coherencia temporal
• Identificación del punto exacto de compromiso
• Evaluación del nivel de sofisticación del ataque

Fase 6: Redacción del informe pericial

El informe pericial incluye:

Fase 7: Ratificación en sede judicial

Si el caso llega a juicio, el perito debe ratificar el informe ante el tribunal:

• Explicar los hallazgos técnicos en lenguaje accesible para el juez y las partes
• Responder a las preguntas de los abogados de ambas partes
• Defender la metodología utilizada frente a posibles contrapericias
• Acreditar la validez de la cadena de custodia

Costes orientativos del peritaje de quishing

Marco legal en España: qué dice la ley sobre el quishing

El quishing no tiene un tipo penal propio en el ordenamiento jurídico español, pero encaja en varios delitos del Código Penal y está regulado por diversas normativas sectoriales.

Código Penal: delitos aplicables

Artículo 248 — Estafa

El artículo 248 del Código Penal define la estafa como el uso de «engaño bastante para producir error en otro, induciéndole a realizar un acto de disposición en perjuicio propio o ajeno».

Tras la reforma de la LO 14/2022 (vigente desde enero de 2023), la estafa informática se regula específicamente en el artículo 249, que incluye:

«Los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.»

El quishing encaja perfectamente en esta tipificación:

• Engaño bastante: el QR fraudulento y la web que imita un servicio legítimo constituyen el ardid
• Error en la víctima: la víctima cree que está pagando un servicio legítimo
• Acto de disposición: la introducción de datos bancarios que permite las transacciones fraudulentas
• Perjuicio patrimonial: la pérdida económica de la víctima
• Ánimo de lucro: el beneficio económico del estafador

Pena básica: Prisión de 6 meses a 3 años (art. 249.1 CP).

Artículo 250 — Estafa agravada

La pena se eleva a prisión de 1 a 6 años y multa de 6 a 12 meses cuando concurran circunstancias agravantes:

Artículo 197 — Descubrimiento y revelación de secretos

El artículo 197 CP sanciona a quien, para descubrir los secretos o vulnerar la intimidad de otro, se apodere de datos personales registrados en ficheros o soportes informáticos.

En el quishing, cuando el atacante captura credenciales de acceso, datos personales, información bancaria u otra información privada de la víctima, comete un delito contra la intimidad tipificado en este artículo.

Pena: Prisión de 1 a 4 años y multa de 12 a 24 meses.

Si los datos se difunden o ceden a terceros, la pena se eleva a prisión de 2 a 5 años.

Artículo 264 — Daños informáticos

Cuando el ataque de quishing incluye la instalación de malware en el dispositivo de la víctima —troyanos bancarios, keyloggers, ransomware— se puede aplicar además el artículo 264 del CP, que sanciona a quien «por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos».

Pena: Prisión de 6 meses a 3 años.

Artículo 264 bis — Obstaculización de sistemas informáticos

Si el malware instalado mediante quishing afecta al funcionamiento del dispositivo (ralentización, bloqueo, cifrado de datos), puede aplicarse el artículo 264 bis que sanciona a quien «sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno».

Pena: Prisión de 6 meses a 3 años.

Concurso de delitos

En la mayoría de los casos de quishing, se produce un concurso ideal o medial de delitos: la misma acción (el ataque de quishing) constituye simultáneamente estafa (art. 249), descubrimiento de secretos (art. 197) y, potencialmente, daños informáticos (art. 264). Esto puede agravar significativamente la pena total.

Responsabilidad penal de las personas jurídicas

Si el ataque de quishing es perpetrado por una organización criminal que opera como persona jurídica (o a través de ella), el artículo 31 bis del CP permite la responsabilidad penal de la persona jurídica, con penas que incluyen multa, disolución, suspensión de actividades, clausura de establecimientos e inhabilitación para obtener subvenciones.

Normativa de servicios de pago (PSD2)

La Directiva PSD2, transpuesta en España mediante el Real Decreto-ley 19/2018, establece un régimen de protección del usuario de servicios de pago que es fundamental en los casos de quishing:

Obligación de reembolso (art. 45 RDL 19/2018): El proveedor de servicios de pago (el banco) debe reembolsar al usuario las operaciones de pago no autorizadas inmediatamente y, en todo caso, antes del final del día hábil siguiente a aquel en que se comunicó la operación.

Excepciones (art. 46 RDL 19/2018): El banco puede denegar el reembolso si demuestra que el usuario actuó con negligencia grave o fraudulentamente.

¿Es negligencia grave escanear un QR de un parquímetro?

La jurisprudencia española está tendiendo a considerar que no constituye negligencia grave escanear un QR en un entorno donde los QR son habituales y esperables (parquímetros, restaurantes, transporte público). Los tribunales valoran:

• Si la web fraudulenta era una réplica convincente del servicio legítimo
• Si el QR estaba ubicado en un lugar donde cabía esperar un QR legítimo
• Si la víctima tomó alguna precaución razonable
• Si el banco implementó medidas de seguridad adicionales (SCA: Strong Customer Authentication)

El informe pericial es determinante para acreditar estos extremos ante el tribunal y demostrar que la víctima actuó con diligencia razonable.

Autenticación reforzada (SCA): La PSD2 exige a los bancos implementar la autenticación reforzada del cliente (SCA) para las operaciones de pago electrónicas. Si el banco no exigió SCA para las operaciones fraudulentas, difícilmente podrá alegar negligencia del cliente.

Reglamento General de Protección de Datos (RGPD)

El RGPD es relevante en los casos de quishing en dos vertientes:

1. Como víctima: Si los datos personales de la víctima fueron obtenidos a través de una filtración previa (para personalizar las cartas postales fraudulentas, por ejemplo), la víctima puede presentar una reclamación ante la AEPD contra la entidad responsable de la filtración original.

2. Como sanción al atacante: Los operadores de webs fraudulentas que recopilan datos personales de forma ilícita se enfrentan a sanciones del RGPD que pueden alcanzar los 20 millones de euros o el 4 % de la facturación global [8]. Aunque estos atacantes suelen operar desde fuera de la UE, la existencia de la infracción puede facilitar la cooperación policial internacional.

Directiva NIS2

La Directiva NIS2 (Directiva (UE) 2022/2555), cuya transposición en España se encuentra en fase avanzada de tramitación parlamentaria (Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado por el Consejo de Ministros en enero de 2025), establece obligaciones de ciberseguridad para entidades esenciales e importantes en 18 sectores críticos [13].

Implicaciones para el quishing:

• Las organizaciones cubiertas por NIS2 (energía, transporte, finanzas, salud, administración pública, etc.) deberán implementar medidas de gestión de riesgos de ciberseguridad que incluyan la protección contra ataques de quishing
• Obligación de notificación de incidentes significativos (incluidos ataques de quishing que comprometan datos o servicios) a las autoridades competentes
• Sanciones de hasta 10 millones de euros o el 2 % del volumen de negocio para entidades esenciales que incumplan las obligaciones de seguridad

Ley de Enjuiciamiento Criminal

La investigación policial de los ataques de quishing puede requerir:

• Orden judicial para identificar IP (art. 588 ter LECrim): para obtener datos de conexión del servidor del atacante
• Orden judicial para intervenir comunicaciones (art. 588 bis LECrim): si la investigación requiere acceso a comunicaciones del investigado
• Cooperación judicial internacional (Eurojust, MLATs): cuando la infraestructura del ataque está en otro país
• Europol y cooperación policial: para operaciones transfronterizas coordinadas

Reclamación extrajudicial al banco

Antes de acudir a la vía judicial, es recomendable seguir este orden de reclamación:

Prevención para empresas: estrategia anti-quishing corporativa

Las empresas son un objetivo creciente del quishing corporativo. Según Abnormal Security, el 72 % de las empresas recibieron ataques de quishing durante 2025 [9]. Implementar una estrategia preventiva integral es esencial.

Política de uso de códigos QR

Checklist anti-quishing para empresas

Prevención para particulares: guía de protección personal

Antes de escanear un QR: 10 comprobaciones

Si ya escaneaste y algo parece raro

Protección del teléfono móvil

Qué hacer con un QR sospechoso que encuentres en la calle

Si encuentras un QR que sospechas que es fraudulento (una pegatina claramente superpuesta, un QR en una «multa» sospechosa en un coche, etc.):

Configuración de seguridad recomendada para el móvil

iPhone (iOS):

• Actualizar a la última versión de iOS (Ajustes → General → Actualización de software)
• La cámara nativa muestra la URL del QR antes de abrirla (viene activado por defecto)
• Activar el modo de bloqueo si se es un objetivo de alto riesgo (Ajustes → Privacidad y seguridad → Modo de bloqueo)
• Activar «Protección de dispositivo robado» (Ajustes → Face ID y código)

Android:

• Actualizar a la última versión del sistema y parches de seguridad (Ajustes → Sistema → Actualización del sistema)
• Desactivar «Instalar apps de orígenes desconocidos» (Ajustes → Seguridad → Orígenes desconocidos: OFF)
• Activar Google Play Protect (Google Play → Perfil → Play Protect → Activar)
• Usar Google Lens o la cámara nativa para previsualizar URLs de QR antes de abrirlas

Personas mayores y colectivos vulnerables

Las personas mayores son especialmente vulnerables al quishing por correo postal. Si tienes familiares mayores:

• Explícales qué es el quishing con ejemplos sencillos
• Configúrales el teléfono con previsualización de URL y antivirus
• Acuerda que te llamen antes de escanear cualquier QR que reciban por correo o encuentren en la calle
• Desconfiad juntos de cualquier carta con QR que solicite datos o pagos urgentes
• Apuntad el teléfono del banco y de INCIBE (017) en un lugar visible del hogar

El futuro del quishing: tendencias 2026-2027

El quishing no es una amenaza estática. Los ciberdelincuentes innovan constantemente, y las técnicas que veremos en los próximos 12-18 meses representan una evolución significativa respecto a las pegatinas superpuestas de primera generación.

Quishing con inteligencia artificial generativa

La integración de grandes modelos de lenguaje (LLM) como GPT, Claude y Gemini en la cadena de ataque permite a los estafadores:

• Generar cartas postales personalizadas con datos reales de la víctima (nombre, dirección, NIF) y un tono lingüístico indistinguible de las comunicaciones oficiales. Ya no hay faltas de ortografía ni frases forzadas que delaten el fraude.
• Crear webs de phishing multiidioma que se adaptan automáticamente al idioma del navegador de la víctima, ampliando el alcance de cada campaña a múltiples países con un solo despliegue.
• Personalizar el engaño a escala industrial. La IA permite generar miles de variantes únicas de la misma estafa, cada una adaptada al perfil de la víctima (edad, ubicación, banco, operador telefónico), lo que reduce drásticamente la eficacia de los filtros basados en firmas.
• Generar deepfakes de voz para campañas combinadas de quishing + vishing, donde el QR conduce a una «verificación telefónica» con una voz sintética que imita a un agente bancario real.

QR dinámicos maliciosos

Los QR dinámicos —aquellos cuya URL de destino se puede modificar después de la impresión— representan una amenaza emergente:

• Un atacante podría registrar un servicio de QR dinámico legítimo y distribuir los códigos en ubicaciones físicas. Inicialmente, los QR podrían apuntar a contenido legítimo (para no levantar sospechas). Semanas después, el atacante modifica la URL de destino a una web maliciosa.
• Los QR dinámicos también dificultan la investigación forense porque la URL original puede no estar disponible cuando el perito analiza el caso.

Códigos QR en formato ASCII

En enero de 2026, se detectó que el 12 % de los ataques quishing utilizaban códigos QR representados como texto ASCII en lugar de imágenes tradicionales [10]. Estos QR textuales son invisibles para los sistemas de detección diseñados para reconocer imágenes QR pixeladas, creando un punto ciego significativo en las defensas corporativas.

Convergencia con otros vectores de ataque

La tendencia más preocupante es la convergencia del quishing con otras técnicas de ataque, creando cadenas de compromiso multi-fase:

Quishing-as-a-Service (QaaS)

En la dark web ya se comercializan kits de quishing preconfigurados que incluyen:

• Plantillas de webs de phishing para los principales bancos españoles (CaixaBank, BBVA, Santander, Sabadell)
• Generadores de QR con URLs ofuscadas
• Paneles de control para gestionar campañas y recopilar datos robados
• Servicios de hosting «bulletproof» que no cooperan con las autoridades
• Tutoriales para la colocación física de pegatinas

Estos kits tienen un coste de entre 50 y 500 dólares, lo que democratiza el acceso al quishing para atacantes sin conocimientos técnicos avanzados.

Defensas emergentes

Frente a esta evolución de la amenaza, también están surgiendo contramedidas innovadoras:

• Detección de QR por IA en email gateways: Microsoft, Proofpoint y Google están incorporando modelos de visión por computadora capaces de detectar y decodificar QR en imágenes y PDFs adjuntos a emails [9][10].
• QR codes firmados digitalmente: Propuestas de estándares que incluirían una firma criptográfica verificable en el propio código QR, permitiendo al lector validar la autenticidad antes de abrir la URL.
• Alertas municipales proactivas: Algunos ayuntamientos están implementando sistemas de verificación donde los usuarios pueden contrastar el QR escaneado con una base de datos de QR legítimos antes de interactuar con la URL.
• Concienciación masiva: Las campañas de la Policía Nacional y de INCIBE están empezando a generar una cultura de desconfianza saludable hacia los QR en la vía pública.

Glosario de términos relacionados con el quishing

Para facilitar la comprensión de esta guía, recopilamos aquí los términos técnicos más relevantes con enlaces al glosario completo de digitalperito.es:

Recursos adicionales y enlaces de interés

Para ciudadanos

• INCIBE — Línea 017: Teléfono gratuito de ayuda en ciberseguridad, disponible 24/7 por teléfono, WhatsApp y Telegram. incibe.es/linea-de-ayuda-en-ciberseguridad
• OSI — Oficina de Seguridad del Internauta: Avisos de seguridad actualizados sobre campañas de fraude activas. osi.es
• Denuncias online — Policía Nacional: Formulario de denuncia electrónica. denuncias.policia.es
• Sede electrónica DGT: Para verificar multas reales. sede.dgt.gob.es
• CIRBE — Banco de España: Para verificar si se han contratado préstamos a tu nombre. app.bde.es/ris_www

Para profesionales

• INCIBE-CERT: Centro de respuesta a incidentes de seguridad para empresas y operadores críticos. incibe.es/incibe-cert
• CCN-CERT: Centro Criptológico Nacional para administraciones públicas. ccn-cert.cni.es
• ENISA: Agencia de la Unión Europea para la Ciberseguridad. enisa.europa.eu
• OWASP QRLJacking: Documentación sobre ataques de secuestro de sesión mediante QR. owasp.org/www-community/attacks/Qrljacking
• NIST Cybersecurity Framework: Marco de referencia para gestión de riesgos de ciberseguridad. nist.gov/cyberframework

Artículos relacionados en digitalperito.es

• Análisis forense de troyanos bancarios en WhatsApp
• Evidencia digital admisible en juicio: requisitos legales
• Cuánto cuesta un informe pericial informático
• Cómo certificar WhatsApp para un juicio
• Guía de Autopsy para análisis forense digital
• Ransomware forensics: cómo recuperar evidencias
• Ciberviolencia de género: peritaje forense

Preguntas frecuentes

¿Qué es exactamente el quishing y en qué se diferencia del phishing?

El quishing es una técnica de ciberestafa que utiliza códigos QR fraudulentos para redirigir a la víctima a páginas web maliciosas. El término combina «QR» (Quick Response) y «phishing». La diferencia fundamental con el phishing tradicional es el vector de ataque: mientras que el phishing usa enlaces de texto en correos electrónicos, el quishing usa códigos QR —ya sean físicos (pegatinas en parquímetros, cartas postales) o digitales (incrustados en emails)—. Esta diferencia es crucial porque el ojo humano puede inspeccionar un enlace de texto pero no puede leer un código QR, lo que elimina la posibilidad de verificación previa. Además, los códigos QR en formato imagen evaden los filtros anti-phishing corporativos, que solo analizan enlaces de texto [1][4][10].

¿Es delito colocar un código QR falso en un parquímetro?

Sí, inequívocamente. Colocar un código QR fraudulento con la intención de obtener datos bancarios o dinero de las víctimas constituye un delito de estafa tipificado en los artículos 248 a 250 del Código Penal español. Si el importe supera los 50.000 euros o afecta a un gran número de víctimas, se aplica el tipo agravado con penas de hasta 6 años de prisión. Si además se instala malware en el dispositivo de la víctima, puede concurrir un delito de daños informáticos (art. 264 CP) y de descubrimiento y revelación de secretos (art. 197 CP). En caso de organización criminal, se aplican los artículos 570 bis y ter del CP con penas adicionales [7][11].

¿Puedo reclamar al banco si me estafan con un QR falso?

Sí, y la ley está de tu parte si actuaste con diligencia razonable. El Real Decreto-ley 19/2018 (PSD2) obliga a las entidades financieras a reembolsar las operaciones no autorizadas salvo que demuestren negligencia grave del titular. La jurisprudencia española está tendiendo a considerar que escanear un QR en un entorno donde son habituales (parquímetro, restaurante) y donde la web fraudulenta era una réplica convincente del servicio legítimo no constituye negligencia grave. Para reforzar tu reclamación, es fundamental: (1) denunciar ante la policía en las primeras horas, (2) notificar al banco inmediatamente, y (3) obtener un informe pericial que documente técnicamente cómo se produjo la estafa y que actuaste con la diligencia exigible a un usuario medio [7].

¿Cómo sé si un código QR es seguro antes de escanearlo?

No puedes saberlo con certeza al 100 % sin herramientas especializadas, pero hay precauciones que reducen drásticamente el riesgo: (1) inspecciona físicamente el QR para detectar pegatinas superpuestas, (2) usa la previsualización de URL de la cámara nativa de tu móvil, (3) verifica el dominio antes de hacer clic —los dominios oficiales españoles terminan en .gob.es, .es, .cat, etc.—, (4) nunca introduzcas datos bancarios en una web a la que accediste por QR sin verificar manualmente el dominio, (5) desconfía de la urgencia: un servicio legítimo nunca te presionará para actuar en minutos. En caso de duda, accede al servicio escribiendo la dirección directamente en el navegador. Para análisis más avanzados, herramientas como VirusTotal, RevealQR o Kaspersky QR Scanner pueden verificar la URL contra bases de datos de amenazas conocidas [2][4][5].

¿Qué puede hacer un perito informático si ya me han estafado con quishing?

El perito informático forense puede: (1) realizar una extracción forense completa del dispositivo para recuperar y preservar todas las evidencias del ataque, incluyendo historial de navegación, URLs visitadas, cookies y posible malware instalado; (2) rastrear la URL maliciosa y documentar toda la infraestructura del fraude (dominio, servidor, certificados, cadena de redirecciones); (3) verificar si se instaló malware en tu dispositivo y cuál fue su alcance; (4) generar un informe pericial con cadena de custodia válida para presentar ante el banco en la reclamación PSD2 o ante el juzgado en un procedimiento judicial; y (5) ratificar el informe como prueba pericial en sede judicial si el caso llega a juicio. El informe pericial es la pieza clave para demostrar que no hubo negligencia grave por parte de la víctima y para fundamentar la reclamación de reembolso [7].

¿El antivirus del móvil protege contra el quishing?

Parcialmente. Las soluciones de seguridad móvil como Norton, Bitdefender o Kaspersky pueden alertar si la URL del QR está en una base de datos de sitios maliciosos conocidos. Google Safe Browsing, integrado en Chrome, ofrece una capa adicional. Sin embargo, los atacantes crean dominios nuevos constantemente que aún no figuran en las listas negras. Se estima que un dominio de phishing tiene una vida media de 24-48 horas antes de ser detectado y bloqueado. Además, el 89 % de los ataques quishing consiguen evadir las defensas automatizadas [10]. Por tanto, ninguna herramienta es infalible: la mejor protección sigue siendo verificar manualmente la URL, el dominio y el contexto antes de introducir cualquier dato personal o bancario [4][10].

¿Los ataques de quishing solo afectan a particulares?

No. Las empresas son un objetivo creciente —y cada vez más prioritario— del quishing corporativo. El 72 % de las empresas recibieron ataques de quishing en 2025 [9]. Los atacantes envían correos electrónicos con QR que supuestamente dirigen a sistemas de autenticación MFA, plataformas de RRHH o documentos internos. Al estar el código en formato imagen, los filtros de correo convencionales no lo analizan y no lo bloquean. Los directivos son 40 veces más propensos a ser objetivo [10]. Las consecuencias corporativas incluyen: compromiso de credenciales de Microsoft 365/Google Workspace, bypass de MFA mediante robo de tokens de sesión, exfiltración de datos, ransomware, y acceso a sistemas financieros internos.

¿Puede un código QR instalar malware en mi teléfono automáticamente?

En la mayoría de los casos, escanear un QR por sí solo no instala malware automáticamente. El QR conduce a una URL, y es al visitar esa URL cuando puede iniciarse una descarga o ejecutarse código malicioso. Sin embargo, hay excepciones importantes: (1) en dispositivos Android con la opción de «Orígenes desconocidos» activada, un QR puede iniciar la descarga directa de un APK malicioso; (2) en dispositivos con vulnerabilidades no parcheadas, el código de la web puede ejecutar un exploit de tipo zero-click que instala malware sin interacción del usuario; (3) algunas apps de escaneo QR de terceros pueden tener vulnerabilidades que permiten la ejecución de código. Por eso es fundamental mantener el sistema operativo actualizado y usar solo la cámara nativa o apps de confianza para escanear QR.

¿Qué plazo tengo para reclamar al banco tras un quishing?

Según el RDL 19/2018 (PSD2), debes notificar al banco las operaciones no autorizadas sin demora injustificada y, en todo caso, en un plazo máximo de 13 meses desde la fecha de la operación (art. 43). Sin embargo, cuanto antes actúes, mejor: (1) más probabilidades de que el banco pueda bloquear o revertir las operaciones, (2) más evidencias se preservan en el dispositivo, (3) la web fraudulenta puede seguir activa y puede ser capturada por un perito. La recomendación es notificar al banco en las primeras 24 horas y presentar denuncia policial lo antes posible.

¿Cuánto cuesta un informe pericial para un caso de quishing?

El coste de un informe pericial para un caso de quishing oscila entre 800 y 1.500 euros para un paquete completo que incluya extracción forense del dispositivo, análisis de la infraestructura del ataque e informe con cadena de custodia. La ratificación en sede judicial tiene un coste adicional de 300-500 euros por sesión. Si las cantidades sustraídas superan los 1.000-2.000 euros, el peritaje se amortiza al fundamentar la reclamación PSD2 al banco. Muchos casos se resuelven favorablemente en la fase de reclamación al banco sin necesidad de llegar a juicio, pero el informe pericial es determinante para el éxito de esa reclamación.

¿Se pueden rastrear a los autores de un ataque de quishing?

Es técnicamente posible pero operativamente complejo. El rastreo implica: análisis WHOIS del dominio (generalmente registrado con datos falsos), análisis de los servidores (frecuentemente en jurisdicciones poco cooperativas como Moldavia, Rusia o Panamá), trazabilidad de los flujos financieros (transferencias, compras online, criptomonedas) y análisis del QR físico (si se puede identificar la impresora). La cooperación policial internacional (Europol, Eurojust) y las órdenes judiciales para obtener datos de registradores de dominios y proveedores de hosting son fundamentales. Las operaciones policiales exitosas suelen requerir meses de investigación y la colaboración de múltiples cuerpos policiales.

¿Cómo se diferencia un QR malicioso de uno legítimo a simple vista?

No se puede. Esa es precisamente la razón por la que el quishing es tan peligroso. Un código QR es una matriz de módulos blancos y negros que no transmite información legible al ojo humano. Dos QR que apunten a URLs completamente diferentes pueden parecer casi idénticos. Las únicas señales que pueden delatar un QR malicioso son físicas: si es una pegatina pegada sobre otro QR, si los bordes están desalineados, si el tamaño o la calidad de impresión difieren del entorno. Pero un atacante cuidadoso puede producir pegatinas que sean indistinguibles del QR original. Por eso, la verificación debe centrarse en la URL de destino, no en el aspecto del código.

¿Qué sectores son más vulnerables al quishing en España?

En España, los sectores más afectados son: (1) hostelería y turismo, por el uso masivo de QR en menús y servicios turísticos; (2) transporte y movilidad, por los QR en parquímetros, estaciones de carga y transporte público; (3) banca y finanzas, por las campañas de correo electrónico con QR que simulan comunicaciones bancarias; (4) administración pública, por las multas falsas y cartas que simulan comunicaciones oficiales; y (5) comercio electrónico, por los QR en supuestas notificaciones de paquetería. Las zonas turísticas de costa (Costa del Sol, Costa Blanca, Barcelona) registran una incidencia especialmente alta por la confluencia de turistas internacionales y alta concentración de servicios con QR.

¿Las autoridades están tomando medidas contra el quishing?

Sí, aunque la respuesta es todavía incipiente. La Policía Nacional emitió alertas específicas sobre quishing en marzo de 2026 [1]. INCIBE ha publicado múltiples avisos de seguridad sobre QR fraudulentos [2]. La DGT y la OSI (Oficina de Seguridad del Internauta) han alertado sobre multas falsas con QR [5]. A nivel europeo, Europol incluyó el quishing en su informe IOCTA 2025 sobre amenazas del crimen organizado en internet [6]. El FBI alertó sobre campañas de quishing de actores estatales (Corea del Norte) [14]. Y la transposición de la Directiva NIS2 obligará a las organizaciones de sectores críticos a implementar medidas específicas contra este tipo de ataques [13].

Referencias y fuentes

1. Policía Nacional (2026). «Alerta sobre quishing: estafas mediante códigos QR fraudulentos en espacios públicos». El Debate, Cuatro, Infobae. https://www.policia.es/

2. INCIBE (2025-2026). «Quishing: la nueva amenaza de los códigos QR fraudulentos — Avisos de seguridad» y «Nueva campaña de phishing utilizando códigos QR». https://www.incibe.es/ciudadania/avisos

3. Guardia Civil (2025-2026). «Detenidos por estafa mediante códigos QR manipulados en parquímetros». https://www.guardiacivil.es/

4. HP Wolf Security (2025). «Threat Insights Report Q4 2025: QR Code Phishing Surges». https://threatresearch.ext.hp.com/

5. DGT / Oficina de Seguridad del Internauta (2025-2026). «Detectada campaña de multas falsas con códigos QR que suplantan a la DGT». Ayuntamiento de Alicante, COPE. https://www.osi.es/es/actualidad/avisos

6. Europol (2025). «Internet Organised Crime Threat Assessment (IOCTA) 2025 — QR Code Fraud». ADSLZone, Híbridos y Eléctricos. https://www.europol.europa.eu/

7. BOE. Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (transposición PSD2). https://www.boe.es/buscar/act.php?id=BOE-A-2018-16036

8. AEPD (2026). Reglamento General de Protección de Datos — Guía para ciudadanos. https://www.aepd.es/

9. Abnormal Security (2025-2026). «The State of Email Security 2026: QR Code Phishing Attacks». https://abnormalsecurity.com/

10. Perception Point (2025), Keepnet Labs (2026), QR Code Tiger (2025). Informes anuales sobre estadísticas de quishing y tendencias de phishing QR. https://keepnetlabs.com/blog/qr-code-phishing-trends-in-depth-analysis-of-rising-quishing-statistics

11. Código Penal español — Ley Orgánica 10/1995, artículos 248-251 (estafa), 197 (descubrimiento de secretos), 264 (daños informáticos). Reforma LO 14/2022. https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444

12. INCIBE (2025). «Balance de ciberseguridad 2025: más de 97.000 incidentes gestionados». https://www.incibe.es/prensa/balance-ciberseguridad-2025

13. Directiva (UE) 2022/2555 (NIS2). Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. CCN-CERT, Cuatrecasas, INCIBE. https://www.ccn.cni.es/es/normativa/directiva-nis2

14. FBI / IC3 (2026). «North Korean Kimsuky Actors Leverage Malicious QR Codes». Action Fraud UK. FTC USA. ScamWatchHQ. https://www.ic3.gov/CSA/2026/260108.pdf

15. Investigación académica: «Digital Forensics of Scanned QR Code Images for Printer Source Identification Using Bottleneck Residual Block» (Sensors, 2020). «QR Code Security: A Survey of Attacks and Challenges for Usable Security» (SBA Research). «QR-Code Crime-Specific Framework with Crime-Specific Intelligence» (ResearchGate, 2023). https://www.mdpi.com/1424-8220/20/21/6305

16. DENSO WAVE (2024). «Information capacity and versions of QR Code». Especificación técnica oficial del código QR. https://www.qrcode.com/en/about/version.html

17. N26, Tarlogic, BeValk (2025-2026). Análisis especializados sobre quishing y protección del usuario. https://n26.com/es-es/blog/quishing-codigos-qr

18. Samsung Knox (2026). «Mobile security threats to enterprise devices in 2026». Samsung Business Insights. https://www.samsungknox.com/en/blog/mobile-security-threats-to-enterprise-devices-in-2026

19. Palo Alto Networks / Unit 42 (2025). «Phishing on the Edge of the Web and Mobile Using QR Codes». https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/

20. Iberley / vLex (2024). Análisis jurisprudencial del delito de estafa informática (arts. 248-249 CP). Doctrina de la Fiscalía General del Estado. https://www.iberley.es/temas/delito-estafa-informatica-art-249-cp-65293

21. Ley de Enjuiciamiento Criminal — Arts. 588 bis y ter (medidas de investigación tecnológica). https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036

22. Get Support IT (2025). «The silent threat: Why 2026 could be the year of quishing». https://www.getsupport.co.uk/blog/2025-12/the-silent-threat-why-2026-could-be-the-year-of-quishing/

Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 10 años de experiencia en análisis forense digital, investigación de ciberincidentes y auditoría de sistemas. Ex-CTO y 5× AWS Certified, aplica metodología ISO 27037 en todas sus investigaciones periciales. Colabora con despachos de abogados y empresas en la investigación de fraudes digitales, incluyendo casos de quishing, phishing y estafas con medios de pago electrónicos.

Última actualización: 30 de marzo de 2026.