Ciberataques

Quishing

Variante de phishing que utiliza códigos QR fraudulentos para dirigir a las víctimas a sitios web maliciosos, instalar malware o robar credenciales. Los atacantes sustituyen códigos QR legítimos o crean nuevos en contextos de confianza (parquímetros, restaurantes, multas falsas) para explotar la confianza del usuario en esta tecnología.

31 min de lectura

¿Qué es el quishing?

El quishing (QR + phishing) es una técnica de ciberataque que utiliza códigos QR fraudulentos como vector para dirigir a las víctimas hacia sitios web maliciosos, robar credenciales, instalar malware o capturar datos bancarios. Se trata de una evolución del phishing tradicional que explota la confianza generalizada de los usuarios en los códigos QR y la dificultad de inspeccionar visualmente una URL antes de escanear el código.

A diferencia del phishing por email, donde los filtros de seguridad pueden analizar URLs y contenido textual, un código QR embebido en una imagen es esencialmente opaco para los sistemas de detección automática. El usuario ve un patrón de puntos blancos y negros sin poder determinar a simple vista si la URL oculta es legítima o maliciosa.

Crecimiento alarmante

Según datos de la Europol y el FBI, los ataques de quishing crecieron un 587% entre 2023 y 2025. En España, INCIBE registró más de 14.000 incidentes relacionados con códigos QR maliciosos durante 2025, un 320% más que el año anterior. La pandemia COVID-19 aceleró la adopción masiva de QR, y los ciberdelincuentes han aprovechado esta confianza.

Cómo funciona técnicamente un código QR

Para entender el quishing, es útil comprender cómo funcionan los códigos QR:

Componente	Descripción
Formato	Matriz bidimensional de módulos blancos y negros
Estándar	ISO/IEC 18004:2015
Capacidad	Hasta 4.296 caracteres alfanuméricos o 7.089 dígitos
Corrección de errores	4 niveles (L: 7%, M: 15%, Q: 25%, H: 30%)
Versiones	1 a 40 (desde 21x21 hasta 177x177 módulos)
Tipos de datos	URL, texto, vCard, email, Wi-Fi, geolocalización, SMS
Lectura	Cualquier cámara de smartphone con aplicación de escaneo

Estructura interna de un código QR:

┌──────────────────────────────────┐
│ ██████  ░░░░██  ██████           │ ← Patrones de posición
│ ██  ██  ██░░██  ██  ██           │   (esquinas)
│ ██████  ░░░░██  ██████           │
│                                  │
│ ░░██░░██░░██░░██░░██░░           │ ← Patrón de alineación
│                                  │
│ ██░░██░░██ DATOS ░░██░░          │ ← Datos codificados
│ ░░██░░██░░██░░██░░██░░           │   (URL, texto, etc.)
│ ██░░██░░██░░██░░██░░██           │
│                                  │
│ Información de formato            │ ← Nivel de corrección
│ Información de versión            │   de errores
└──────────────────────────────────┘

Un código QR legítimo que apunte a https://restaurante.es/menu y un código QR malicioso que apunte a https://restaurante-es.phishing.com/menu son visualmente indistinguibles para el ojo humano.

Vectores de ataque: cómo se ejecuta el quishing

Los atacantes despliegan códigos QR maliciosos en múltiples contextos, aprovechando situaciones donde el usuario confía en el código o tiene prisa por escanearlo.

QR físicos superpuestos (sticker overlay)

La técnica más común consiste en pegar una pegatina con un QR fraudulento sobre un QR legítimo:

Ubicación	Ataque típico	Objetivo
Parquímetros	QR falso sobre el de pago	Robar datos de tarjeta bancaria
Menús de restaurantes	QR pegado sobre el de la carta	Instalar malware o robar credenciales
Paradas de autobús	QR en carteles publicitarios	Redirigir a sitio de phishing
Oficinas de Correos	QR en avisos de paquete falsos	Robar datos personales
Cajeros automáticos	QR pegado cerca del lector	Capturar credenciales bancarias
Gasolineras	QR sobre el surtidor	Robar datos de pago
Buzones de edificios	Avisos de “paquete pendiente” con QR	Phishing de credenciales
Plazas de aparcamiento	Multas falsas con QR de pago	Estafa de pago

La multa falsa con QR: caso real en España

En 2025, la Policía Nacional alertó sobre una oleada de multas falsas colocadas en parabrisas de vehículos en Madrid, Barcelona y Valencia. Los avisos imitaban a la perfección las denuncias municipales e incluían un código QR para “pagar la sanción con descuento”. El QR redirigía a una pasarela de pago fraudulenta que capturaba los datos de la tarjeta de crédito. Más de 2.000 personas fueron estafadas antes de que se desarticulara la red.

QR en comunicaciones digitales

Vector	Descripción	Por qué funciona
Email corporativo	QR para “verificar cuenta” o “actualizar contraseña”	Los filtros anti-phishing no leen el contenido del QR en la imagen
SMS / WhatsApp	Imagen con QR para “recibir paquete” o “confirmar cita”	Urgencia + confianza en el remitente aparente
Redes sociales	Posts con QR para “ofertas exclusivas” o “sorteos”	Viralidad + baja sospecha
Documentos PDF	QR en facturas, contratos o formularios	Contexto profesional genera confianza
Presentaciones	QR en diapositivas de eventos o conferencias	Ambiente profesional + público numeroso

QR en paquetería y logística

Escenario	Mecanismo	Datos que captura
Aviso de Correos falso	Carta en buzón: “Tiene un paquete pendiente. Escanee para programar entrega.”	Nombre, dirección, teléfono, tarjeta
Etiqueta de Amazon falsa	Pegatina en paquete real: “Escanee para verificar el contenido.”	Credenciales de Amazon
QR de seguimiento falso	SMS con imagen de QR: “Rastree su envío.”	Credenciales del email
Devolución fraudulenta	Email con QR: “Escanee para iniciar la devolución.”	Datos bancarios para “reembolso”

Técnicas avanzadas de quishing

Técnica	Descripción	Dificultad de detección
QR con redirección en cadena	El QR apunta a un acortador (bit.ly) que redirige a otro acortador que finalmente lleva al sitio malicioso	Muy alta: múltiples saltos ocultan el destino
QR con geofencing	El sitio de destino muestra contenido malicioso solo desde IPs españolas; desde otras ubicaciones muestra contenido inocuo	Alta: dificulta el análisis desde laboratorio
QR con time-bombing	La URL del QR es legítima durante las primeras horas y cambia a maliciosa después	Alta: el QR pasa verificaciones iniciales
QR con detección de sandbox	El sitio detecta si se accede desde un entorno de análisis y muestra contenido diferente	Alta: evade análisis automatizados
QR con payload condicional	Muestra una web de phishing en iOS y descarga un APK malicioso en Android	Media: comportamiento diferente según dispositivo
QR embebido en imagen	El QR está camuflado dentro de una imagen (esteganografía QR)	Muy alta: invisible a simple vista

Estadísticas y tendencias del quishing

Evolución del quishing a nivel global

Año	Incidentes registrados (global)	Crecimiento	Hito destacado
2020	~12.000	—	Pandemia impulsa adopción masiva de QR
2021	~35.000	+192%	Primeros casos masivos en hostelería
2022	~87.000	+149%	FBI emite alerta IC3 sobre quishing
2023	~156.000	+79%	Europol incluye quishing en informe IOCTA
2024	~298.000	+91%	Primera condena por quishing en España
2025	~510.000	+71%	INCIBE registra 14.000+ incidentes en España

Datos específicos de España (2025)

Métrica	Valor
Incidentes reportados a INCIBE	14.200+
Denuncias a Policía Nacional / Guardia Civil	8.700+
Pérdida económica estimada	23 millones de euros
Sector más afectado	Hostelería (28%), seguido de banca (22%)
Edad media de las víctimas	35-55 años
Porcentaje que recuperó el dinero	31% (con informe pericial: 67%)
Comunidades más afectadas	Madrid (24%), Cataluña (19%), Andalucía (16%)

El dato clave: las víctimas con informe pericial recuperan más

Las estadísticas muestran que las víctimas que aportaron un informe pericial informático a su denuncia recuperaron el dinero estafado en un 67% de los casos, frente al 31% de media general. El informe pericial documenta la sofisticación del ataque, demuestra que la víctima actuó razonablemente y facilita la investigación policial.

Análisis forense de un ataque de quishing

Cuando una víctima de quishing acude a un perito informático forense, el análisis sigue una metodología rigurosa que permite documentar el ataque, identificar al atacante cuando es posible, y generar un informe pericial admisible como prueba.

Proceso de análisis forense

Preservación del código QR: Si el QR es físico (pegatina, cartel, multa), se fotografía in situ con metadatos de geolocalización y fecha. Si es digital (email, PDF), se preserva el archivo original con hash SHA-256. Se documenta la cadena de custodia desde el primer momento.
Decodificación segura del QR: Se utiliza una herramienta de decodificación offline (como ZXing o una librería Python de QR) para extraer el contenido del código sin ejecutarlo. Se documenta exactamente qué URL, texto o payload contiene el QR.
Análisis de la URL de destino: Se examina la URL extraída sin visitarla directamente. Se analiza el dominio, se compara con el dominio legítimo esperado, se buscan técnicas de ofuscación (typosquatting, homógrafos Unicode, subdominios engañosos).
Visita controlada en sandbox: Se accede a la URL desde un entorno aislado (máquina virtual sin datos personales, VPN, navegador limpio). Se documenta el contenido del sitio: formularios de captura de datos, descargas de malware, redirecciones.
Análisis de la infraestructura: Se investiga la infraestructura del atacante: WHOIS del dominio (fecha de registro, registrante), registros DNS, IP del servidor, análisis Shodan, certificados SSL (crt.sh), hosting utilizado.
Análisis del sitio de phishing: Se examina el código fuente del sitio fraudulento buscando: a dónde se envían los datos capturados (endpoint de exfiltración), kits de phishing reconocibles, errores que identifiquen al atacante, contenido copiado del sitio legítimo.
Correlación con otros casos: Se busca en bases de datos de amenazas (PhishTank, OpenPhish, URLhaus) si la URL, IP o dominio están asociados a otras campañas de quishing. Se verifica si la misma infraestructura se ha usado en otros ataques.
Análisis del dispositivo de la víctima (si aplica): Si la víctima consintió, se examina el dispositivo móvil buscando: historial de navegación, aplicaciones instaladas tras escanear el QR, permisos concedidos, posible malware instalado.
Elaboración del timeline: Se reconstruye la cronología completa del ataque: cuándo se creó el dominio, cuándo se escaneó el QR, cuándo se introdujeron los datos, cuándo se ejecutó el fraude (transferencia, compra fraudulenta).
Informe pericial: Se genera el dictamen pericial con: descripción técnica del ataque, evidencias preservadas con hashes, análisis de la infraestructura, timeline del incidente, valoración del nivel de sofisticación, y conclusiones.

Herramientas forenses para análisis de QR

Herramienta	Función	Uso forense
ZXing (Zebra Crossing)	Decodificación offline de QR	Extraer contenido sin ejecutar
QR Scanner CLI (Python)	Decodificación por línea de comandos	Reproducibilidad del análisis
VirusTotal	Análisis de URLs	Reputación del dominio de destino
URLScan.io	Screenshot y análisis del sitio	Documentar el sitio de phishing
PhishTank	Base de datos de phishing	Correlación con campañas conocidas
Shodan	Análisis del servidor	Identificar infraestructura del atacante
WHOIS / DomainTools	Datos registrales del dominio	Fecha de registro, registrante, historial
crt.sh	Transparencia de certificados	Descubrimiento de dominios relacionados
Hunchly	Preservación de navegación web	Cadena de custodia del análisis
FotoForensics	Análisis de imagen del QR	Detectar manipulación de la imagen
ExifTool	Metadatos de la foto del QR	Geolocalización y fecha de la captura

Ejemplo de análisis forense real

═══════════════════════════════════════════════════════════
  ANÁLISIS FORENSE — QUISHING PARQUÍMETRO
  Expediente: 2026-QSH-0018
═══════════════════════════════════════════════════════════

EVIDENCIA: Pegatina QR sobre parquímetro (C/ Gran Vía, Madrid)
FOTOGRAFÍA: evidencia-001.jpg (SHA256: a1b2c3d4e5f6...)
FECHA CAPTURA: 15/03/2026 11:42 CET
GPS: 40.4200° N, 3.7025° W

DECODIFICACIÓN QR:
  Contenido: https://madrid-aparcamiento.online/pago?zona=A12
  Tipo: URL
  Versión QR: 6 (41x41)
  Corrección errores: M (15%)

ANÁLISIS DOMINIO:
  Dominio: madrid-aparcamiento.online
  Registrado: 10/03/2026 (5 días antes del incidente)
  Registrador: Namecheap, Inc.
  WHOIS privado: Sí (WhoisGuard)
  IP: 91.215.xx.xx (Lituania)
  Hosting: Hostinger

COMPARACIÓN CON DOMINIO LEGÍTIMO:
  Legítimo: madrid.es/aparcamiento
  Fraudulento: madrid-aparcamiento.online
  Diferencias:
    - TLD diferente (.online vs .es)
    - Estructura de dominio diferente
    - IP en Lituania (legítimo: España)
    - Dominio de 5 días de antigüedad (legítimo: >10 años)

SITIO DE PHISHING:
  - Copia visual de la pasarela de pago del Ayuntamiento de Madrid
  - Formulario captura: nombre, email, número de tarjeta, CVV, caducidad
  - Datos enviados a: https://madrid-aparcamiento.online/api/collect
  - Certificado SSL: Let's Encrypt (legítimo pero gratuito)
  - Kit de phishing: variante de "16Shop" modificada

INFRAESTRUCTURA:
  Mismo servidor aloja:
    - barcelona-parquimetro.online (registrado 08/03/2026)
    - sevilla-parking-pago.online (registrado 12/03/2026)
    - valencia-aparcamiento.com (registrado 11/03/2026)
  → Campaña organizada contra múltiples ciudades españolas

TIMELINE:
  10/03 — Registro del dominio
  12/03 — Certificado SSL emitido (Let's Encrypt)
  13/03 — Primera indexación del sitio (Shodan)
  14/03 — Pegatinas colocadas en parquímetros (estimación)
  15/03 — Víctima escanea QR e introduce datos
  15/03 — 3 cargos fraudulentos en tarjeta (total: 1.847€)
  16/03 — Víctima denuncia ante Policía Nacional

Tipos específicos de quishing

Quishing bancario

El quishing bancario es especialmente peligroso porque los atacantes crean réplicas convincentes de las pasarelas de pago o banca online:

Variante	Mecanismo	Dato capturado
QR en email “del banco"	"Escanee para verificar su identidad”	Usuario, contraseña, código SMS
QR en carta postal	”Active su nueva tarjeta escaneando este código”	Datos completos de la tarjeta
QR en cajero	Pegatina junto al lector NFC	Credenciales de banca online
QR de Bizum falso	”Escanee para recibir su transferencia”	Número de teléfono + PIN Bizum
QR de TPV falso	Sustitución del QR de pago en comercio	Datos de tarjeta

Quishing corporativo

Los ataques de quishing dirigidos a empresas pueden causar daños especialmente graves:

Vector	Escenario	Impacto potencial
QR en sala de reuniones	”Escanee para conectarse al Wi-Fi” → portal cautivo falso	Credenciales corporativas
QR en email de RRHH	”Actualice sus datos fiscales”	Datos personales de empleados
QR en factura de proveedor	”Escanee para pagar”	Transferencia a cuenta del atacante
QR en tarjeta de visita	Tarjeta que parece de un socio comercial	Instalación de malware corporativo
QR en comunicación interna	”Encuesta de satisfacción — escanee”	Credenciales de Intranet/VPN

Quishing de multas y administración pública

Tipo	Descripción	Ciudades afectadas
Multa de tráfico falsa	Aviso en parabrisas con QR para “pagar con descuento”	Madrid, Barcelona, Valencia, Sevilla
Notificación del Ayuntamiento	Carta postal con QR para “acceder a su expediente”	Varias capitales de provincia
Declaración de la Renta	SMS con QR para “confirmar su borrador”	Todo el territorio nacional
Hacienda / AEAT	QR en email para “verificar su identidad fiscal”	Todo el territorio nacional
Seguridad Social	QR para “actualizar datos de afiliación”	Todo el territorio nacional

Hacienda y la Seguridad Social NUNCA envían QR

Es fundamental saber que la Agencia Tributaria (AEAT), la Seguridad Social y la mayoría de organismos públicos españoles no envían códigos QR por email, SMS o correo postal para trámites administrativos. Cualquier comunicación con QR que pretenda ser de estos organismos es, con alta probabilidad, una estafa.

Marco legal del quishing en España

Tipificación penal

Delito	Artículo CP	Pena	Aplicación al quishing
Estafa	Art. 248	6 meses — 3 años prisión	Engaño mediante QR para obtener beneficio económico
Estafa agravada	Art. 250.1.5º	1 — 6 años prisión	Si afecta a gran número de personas o supera 50.000€
Usurpación de estado civil	Art. 401	6 meses — 3 años	Si el QR suplanta a una empresa o institución
Falsedad documental	Art. 390	6 meses — 3 años	Si se crean multas, avisos o documentos falsos
Daños informáticos	Art. 264	6 meses — 3 años	Si el QR instala malware que daña el dispositivo
Acceso ilícito	Art. 197 bis	6 meses — 2 años	Si se obtienen credenciales para acceder a sistemas
Blanqueo de capitales	Art. 301	6 meses — 6 años	Si las ganancias se canalizan a través de mulas bancarias

Responsabilidad bancaria

En los casos de quishing donde la víctima facilita sus datos bancarios y se producen cargos fraudulentos, la legislación de servicios de pago establece un marco de responsabilidad:

Escenario	Responsabilidad	Base legal
QR sofisticado, víctima actuó razonablemente	Banco debe reembolsar	RDL 19/2018, art. 45
QR obvio, víctima ignoró señales claras de fraude	Negligencia del cliente	RDL 19/2018, art. 46
Banco no implementó 3D Secure o verificación adicional	Banco responsable	Directiva PSD2, art. 97
QR en comunicación que simula ser del propio banco	Responsabilidad compartida	Jurisprudencia reciente
Víctima aporta informe pericial demostrando sofisticación	Refuerza posición del cliente	LEC art. 335-352

Dónde denunciar

Policía Nacional — Brigada de Investigación Tecnológica: Denuncia presencial o en policia.es. Aportar toda la evidencia: foto del QR, captura de la URL, extracto bancario con los cargos fraudulentos.
Guardia Civil — Grupo de Delitos Telemáticos: Denuncia presencial o en gdt.guardiacivil.es. Especialmente si el QR se encontró en zona rural o en carreteras.
INCIBE — Línea 017: Reportar el incidente llamando al 017 (gratuito) o a través de incibe.es. INCIBE puede alertar a otros usuarios y coordinar con las FCSE.
Banco / entidad de pago: Contactar inmediatamente para bloquear la tarjeta y solicitar el reembolso por operación no autorizada (RDL 19/2018).
Organismo suplantado: Si el QR simulaba ser de una empresa o institución concreta, informar a la entidad para que emita una alerta a sus clientes.

Detección y prevención del quishing

Cómo detectar un código QR fraudulento

Antes de escanear:

Señal de alerta	Qué verificar
Pegatina sobre otro QR	Intentar despegar la capa superior. Si hay un QR debajo, es sospechoso.
QR en contexto inesperado	¿Es normal encontrar un QR aquí? ¿Tiene sentido en este contexto?
Calidad de impresión	QR profesional vs. impresión casera con bordes irregulares.
Contexto de urgencia	”Escanee AHORA para evitar recargo” → técnica de presión.
Sin información de contacto alternativa	QR legítimo suele ir acompañado de URL legible y teléfono.

Después de escanear (antes de abrir):

Verificación	Cómo hacerla
Comprobar URL	Tu móvil muestra una vista previa. ¿El dominio es el esperado?
Buscar HTTPS	Sin HTTPS → alerta inmediata. Con HTTPS → no garantiza legitimidad.
Verificar dominio	`banco-santander.es` ≠ `banco-santander-verificacion.com`
Desconfiar de acortadores	`bit.ly/xxxxx` oculta el destino real.
Comprobar en navegador	Buscar la empresa en Google y acceder desde ahí, no desde el QR.

Medidas de prevención para usuarios

Medida	Descripción
Verificar la URL antes de interactuar	Tu móvil muestra la URL antes de abrirla: revísala siempre
No introducir datos bancarios desde un QR	Acceder al banco escribiendo la URL manualmente
Usar aplicaciones de escaneo seguro	Algunas apps verifican URLs contra bases de datos de phishing
Desconfiar de QR en correo postal	Organismos oficiales no envían QR por correo
Reportar QR sospechosos	Si encuentras un QR pegado sobre otro, reportar al establecimiento
Mantener el sistema operativo actualizado	Parches de seguridad protegen contra exploits
Activar doble factor de autenticación	Si roban la contraseña, no podrán acceder sin el segundo factor

Medidas de prevención para empresas

Medida	Implementación	Beneficio
QR dinámicos con monitorización	Plataformas como Beaconstac, QR Tiger	Detectar escaneos anómalos en tiempo real
Verificación periódica de QR físicos	Inspección semanal de todos los QR en el local	Detectar pegatinas superpuestas
URL legible junto al QR	Imprimir la URL en texto junto al código	El cliente puede verificar manualmente
Dominio propio verificable	Usar dominio corporativo, no acortadores	Genera confianza y es verificable
Educación a clientes	Carteles informativos sobre quishing	Reducir víctimas entre los clientes
Protección física del QR	QR grabado (no impreso), bajo protector transparente	Dificultar la superposición de pegatinas
Registro de QR generados	Base de datos interna de todos los QR emitidos	Identificar rápidamente QR no autorizados

La medida más eficaz: la URL legible

La medida preventiva más sencilla y eficaz es imprimir la URL de destino en texto legible junto al código QR. Así el usuario puede verificar manualmente que la URL del QR coincide con la impresa. Si difieren, es una estafa. Esta simple acción habría prevenido la mayoría de ataques de sticker overlay documentados en España.

QR dinámicos vs estáticos: implicaciones de seguridad

Comparativa técnica

Característica	QR estático	QR dinámico
URL embebida	Fija, no modificable	Pasa por servidor intermedio, redirigible
Seguimiento	No	Sí (escaneos, ubicación, dispositivo)
Modificable	No (hay que reimprimir)	Sí (cambio de destino sin reimprimir)
Caducidad	No	Configurable
Protección con contraseña	No	Sí
Detección de anomalías	No	Sí (picos de escaneo, geofencing)
Coste	Gratuito	Suscripción a plataforma
Riesgo de compromiso	Bajo (URL fija)	Medio (si la plataforma es hackeada)

Riesgos específicos de QR dinámicos

Riesgo	Descripción	Mitigación
Compromiso de la plataforma	Si hackean la plataforma de QR dinámicos, todos los QR gestionados pueden redirigir a sitios maliciosos	Elegir plataformas con certificaciones de seguridad
Cuenta comprometida	Acceso no autorizado a la cuenta del gestor de QR	2FA obligatorio, contraseñas fuertes
Man-in-the-middle	Interceptación del redireccionamiento	HTTPS end-to-end
Expiración no controlada	Si el QR caduca y el dominio del servicio es abandonado, puede ser adquirido por un atacante	Monitorizar dominios, renovar servicios

Quishing y la inteligencia artificial

Cómo la IA está potenciando el quishing

Aplicación de IA	Impacto en quishing	Ejemplo
Generación de sitios de phishing	IA crea réplicas perfectas de sitios legítimos en minutos	ChatGPT/Claude generando HTML idéntico al de un banco
Personalización masiva	QR personalizados para cada víctima	QR en cartas con nombre y dirección reales del destinatario
Evasión de detección	IA genera variantes que evitan firmas de phishing	URLs y contenido ligeramente diferentes en cada ataque
Traducción perfecta	Phishing sin errores gramaticales en cualquier idioma	Ataques indistinguibles de comunicación legítima
Deepfake de voz	Llamada de seguimiento con voz clonada del banco	”Le llamamos del BBVA para confirmar el QR que le enviamos”
Análisis de víctimas	IA analiza redes sociales para personalizar ataques	QR con ofertas específicas para los intereses de cada víctima

Cómo la IA puede defender contra el quishing

Defensa con IA	Funcionamiento	Estado (2026)
Detección visual de QR maliciosos	Computer vision detecta pegatinas superpuestas	Experimental
Análisis de URL en tiempo real	ML clasifica URLs como legítimas o maliciosas	Operativo (Google Safe Browsing)
Detección de sitios de phishing	IA analiza estructura del sitio y lo compara con el legítimo	Operativo (varias empresas)
Análisis de comportamiento	Detecta patrones anómalos en escaneos de QR	Disponible en plataformas de QR dinámico
NLP para emails con QR	Detecta lenguaje de urgencia/amenaza en emails que contienen QR	En desarrollo

Casos de quishing documentados en España

Caso 1: Campaña de multas falsas (2025)

Descripción: Red criminal que distribuyó más de 5.000 multas falsas de tráfico con código QR en Madrid, Barcelona, Valencia y Sevilla entre marzo y junio de 2025.

Dato	Detalle
Víctimas	2.100+ personas
Perjuicio total	890.000€
Modus operandi	Avisos en parabrisas imitando multas municipales
QR destino	Pasarela de pago falsa que capturaba datos de tarjeta
Detenidos	7 personas (3 españoles, 4 rumanos)
Evidencia clave	Análisis OSINT que vinculó 4 dominios al mismo servidor

Caso 2: Quishing en restaurantes de Barcelona (2025)

Descripción: Sustitución masiva de QR de menú digital en 47 restaurantes del centro de Barcelona durante la temporada turística.

Dato	Detalle
Restaurantes afectados	47 establecimientos
Víctimas estimadas	800+ comensales
Perjuicio	120.000€ en cargos fraudulentos
Mecanismo	Pegatinas QR sobre menús QR legítimos
Destino	Página de menú falsa que pedía “verificación de edad” con datos de tarjeta
Resolución	Hosteleros alertados por INCIBE, campaña detenida en 3 semanas

Caso 3: QR de pago en gasolineras (2024-2025)

Descripción: Pegatinas QR colocadas junto a los surtidores de gasolineras en autovías de Andalucía y Levante, ofreciendo “pago rápido” sin pasar por caja.

Dato	Detalle
Gasolineras afectadas	23 estaciones de servicio
Víctimas	340+ conductores
Perjuicio	67.000€
Mecanismo	QR pegado en surtidor: “Pague aquí sin colas”
Datos capturados	Tarjeta de crédito completa + email
Particularidad forense	Se identificó al atacante por metadatos de la impresora (puntos amarillos de rastreo)

Los puntos amarillos que delatan

La mayoría de impresoras láser a color imprimen puntos amarillos microscópicos (Machine Identification Code o MIC) que identifican la marca, modelo y número de serie de la impresora, así como la fecha y hora de impresión. En el caso de las gasolineras, el análisis forense de la pegatina QR permitió identificar la impresora utilizada y, a través de los registros de venta, al comprador.

Comparación: quishing frente a otros ataques de phishing

Característica	Phishing (email)	Smishing (SMS)	Vishing (voz)	Quishing (QR)
Vector	Correo electrónico	Mensaje de texto	Llamada telefónica	Código QR
Detección por filtros	Alta (anti-spam)	Media	Baja	Muy baja
Personalización	Alta	Media	Alta	Variable
Coste para el atacante	Muy bajo	Bajo	Medio	Muy bajo
Alcance	Masivo	Masivo	Limitado	Local o masivo
Urgencia percibida	Alta	Muy alta	Muy alta	Media-alta
Verificabilidad por la víctima	Media (URL visible)	Baja	Muy baja	Muy baja
Evidencia forense	Rica (cabeceras)	Media (metadata SMS)	Baja	Variable
Tasa de éxito	3-5%	5-8%	10-15%	8-12%

El papel del perito informático en casos de quishing

Cuándo se necesita un perito

Situación	Por qué es necesario el perito
Reclamación bancaria	Documentar la sofisticación del ataque para demostrar que la víctima actuó razonablemente
Denuncia penal	Generar informe pericial con evidencias técnicas para facilitar la investigación policial
Demanda civil	Peritaje sobre negligencia de la empresa que no protegió sus QR
Defensa del acusado	Si se acusa injustamente a alguien de haber creado el QR malicioso
Seguro de ciberseguridad	Documentar el incidente para la reclamación a la aseguradora

Qué incluye el informe pericial de quishing

Sección	Contenido
Identificación del perito	Datos del perito, formación, experiencia
Objeto del encargo	Qué se solicita analizar y para qué procedimiento
Metodología	Herramientas utilizadas, proceso de análisis
Descripción del ataque	Cómo funcionaba el QR malicioso, paso a paso
Evidencias	Lista de evidencias con hashes SHA-256
Análisis de infraestructura	WHOIS, DNS, IP, hosting, certificados
Timeline	Cronología completa del incidente
Nivel de sofisticación	Valoración técnica de la calidad del engaño
Conclusiones	Respuestas técnicas a las preguntas del encargo
Anexos	Capturas, hashes, log de actuaciones

Análisis técnico de códigos QR maliciosos

Estructura de un QR malicioso vs. legítimo

Para el perito informático forense, comprender la estructura interna del código QR es esencial para documentar técnicamente el ataque en el informe pericial.

Decodificación paso a paso:

# Decodificación forense de un código QR con Python
# Entorno: máquina virtual aislada, sin conexión a internet

from pyzbar.pyzbar import decode
from PIL import Image
import hashlib
import json
from datetime import datetime

# 1. Cargar imagen del QR preservado
img = Image.open('evidencia-qr-001.png')

# 2. Calcular hash de la imagen
with open('evidencia-qr-001.png', 'rb') as f:
    hash_sha256 = hashlib.sha256(f.read()).hexdigest()
print(f"SHA-256: {hash_sha256}")

# 3. Decodificar contenido SIN ejecutar
decoded = decode(img)
for obj in decoded:
    qr_data = obj.data.decode('utf-8')
    qr_type = obj.type
    qr_rect = obj.rect
    print(f"Tipo: {qr_type}")
    print(f"Contenido: {qr_data}")
    print(f"Posición: {qr_rect}")

# 4. Registrar en log forense
log_entry = {
    "timestamp": datetime.now().isoformat(),
    "archivo": "evidencia-qr-001.png",
    "hash_sha256": hash_sha256,
    "contenido_qr": qr_data,
    "tipo_qr": qr_type,
    "accion": "Decodificación offline — contenido NO ejecutado"
}

with open('log-forense.json', 'a') as log:
    json.dump(log_entry, log)
    log.write('\n')

Técnicas de ofuscación en URLs de quishing

Los atacantes utilizan diversas técnicas para ocultar la naturaleza maliciosa de la URL embebida en el código QR:

Técnica	Ejemplo	Cómo detectarla
Typosquatting	`bancosantander.es` → `banc0santander.es`	Comparación visual carácter a carácter
Homógrafos Unicode	`а` (cirílico) en lugar de `a` (latino)	Análisis de codificación de caracteres
Subdominios engañosos	`santander.es.verificar-cuenta.com`	El dominio real es `verificar-cuenta.com`
Acortadores de URL	`bit.ly/3xKm2f` → `phishing-site.com`	Expandir URL antes de visitar
Redirecciones en cadena	QR → bit.ly → tinyurl → phishing.com	Seguir redirecciones en sandbox
URLs con @	`https://santander.es@phishing.com`	Todo antes de @ es usuario, no dominio
Codificación de URL	`%68%74%74%70...`	Decodificar URL encoding
Data URI	`data:text/html;base64,PHNjcml...`	Decodificar base64
IP en lugar de dominio	`https://185.234.56.78/login`	Sin nombre de dominio → sospechoso
IDN homograph	`xn--bncosantander-kcb.es`	Verificar representación Punycode

Análisis de la pegatina física

Cuando el QR malicioso es una pegatina física, el análisis forense puede extenderse al soporte material:

Elemento analizable	Qué revela	Técnica
Material adhesivo	Tipo y calidad del adhesivo (profesional vs. casero)	Inspección visual y táctil
Calidad de impresión	Impresora láser, inyección de tinta, offset	Microscopía
Puntos amarillos de rastreo	Marca, modelo y número de serie de la impresora	Microscopía + UV
Huellas dactilares	Posible identificación del colocador	Análisis dactiloscópico (policía)
Fibras y residuos	Procedencia del material	Análisis de laboratorio
Código de barras oculto	Algunos adhesivos tienen código de lote	Escáner especializado

Machine Identification Code (MIC)

La mayoría de impresoras láser a color insertan automáticamente un patrón de puntos amarillos microscópicos (invisible a simple vista) que codifica el número de serie de la impresora, la fecha y hora de impresión. Este patrón, conocido como Machine Identification Code (MIC) o printer steganography, puede analizarse con un microscopio o luz ultravioleta. En el caso de las gasolineras andaluzas (2024-2025), este análisis fue clave para identificar la impresora utilizada.

Guía de respuesta ante incidentes de quishing

Para la víctima individual

No interactuar más con el sitio: Si ya has introducido datos, cierra inmediatamente el navegador. No intentes “deshacer” la acción.
Capturar evidencias: Antes de cerrar todo, haz capturas de pantalla de: la URL del sitio malicioso, cualquier formulario rellenado, el código QR original (si puedes volver a él).
Contactar al banco: Si facilitaste datos bancarios, llama inmediatamente al banco para bloquear la tarjeta y solicitar la anulación de operaciones no reconocidas.
Cambiar contraseñas: Si introdujiste credenciales de acceso (email, redes sociales, banca online), cambia la contraseña inmediatamente desde un dispositivo diferente.
Escanear el dispositivo: Ejecuta un análisis antivirus completo en el teléfono móvil. Si el QR instaló alguna aplicación, desinstálala inmediatamente.
Denunciar: Acudir a la comisaría de Policía Nacional o puesto de la Guardia Civil más cercano. Aportar toda la evidencia recopilada.
Reportar a INCIBE: Llamar al 017 (gratuito) para reportar el incidente y recibir asesoramiento.
Considerar informe pericial: Si la cantidad defraudada es significativa o se necesita para reclamación bancaria o judicial, contactar con un perito informático forense.

Para empresas con QR comprometidos

Acción	Plazo	Responsable
Retirar todos los QR comprometidos	Inmediato	Responsable de local/comunicación
Alertar a clientes que puedan haberse visto afectados	24 horas	Marketing/Comunicación
Notificar a la AEPD si hay brecha de datos personales	72 horas	DPO/Responsable de protección de datos
Denunciar ante las FCSE	48 horas	Departamento legal
Contratar perito para análisis forense	1 semana	Dirección
Implementar medidas preventivas (QR dinámicos, verificación)	2 semanas	IT/Operaciones
Comunicar resolución a clientes afectados	Según evolución	Comunicación

Plan de comunicación de crisis por quishing

Fase	Acción	Canal
Inmediata	Aviso en redes sociales y web: “Estamos investigando QR no autorizados”	Twitter, Instagram, web
24 horas	Comunicado detallado: qué ocurrió, qué datos pueden estar comprometidos, qué hacer	Email a clientes, comunicado de prensa
48-72 horas	Actualización: medidas adoptadas, colaboración con policía	Web, redes sociales
1 semana	Informe de resolución: resultados de la investigación, medidas preventivas implementadas	Email a clientes, web

Quishing en el contexto de la ciberseguridad empresarial

Integración en el plan de concienciación

El quishing debe incluirse en los programas de concienciación en ciberseguridad de las empresas, especialmente tras su crecimiento exponencial:

Elemento formativo	Contenido	Formato recomendado
Qué es el quishing	Definición, ejemplos reales, estadísticas	Presentación + vídeo (15 min)
Cómo detectar QR maliciosos	Señales de alerta, verificación de URL	Taller práctico (30 min)
Protocolo de actuación	Qué hacer si se sospecha de un QR	Checklist impreso
Simulacro de quishing	Envío controlado de QR de prueba	Ejercicio trimestral
Responsabilidad del empleado	Qué reportar, a quién, cuándo	Guía rápida (1 página)

Evaluación del riesgo de quishing por sector

Sector	Nivel de riesgo	Vectores principales	Medida prioritaria
Hostelería	Muy alto	QR de menú, QR de pago	Verificación semanal de QR físicos
Banca	Alto	QR en emails, QR en cajeros	Comunicación a clientes, monitorización
Retail	Alto	QR de pago, QR en packaging	QR dinámicos con monitorización
Sanidad	Medio-alto	QR de citas, QR de resultados	Concienciación de pacientes
Logística	Alto	QR de seguimiento, avisos falsos	Verificación de QR en paquetería
Administración pública	Medio-alto	QR en notificaciones, multas	Comunicación oficial sobre canales legítimos
Educación	Medio	QR en campus, QR en material docente	Concienciación de alumnos y personal
Transporte	Alto	QR de pago en parking, transporte público	Protección física de QR, señalización

Futuro del quishing (tendencias 2026-2028)

Tendencia	Descripción	Impacto esperado
QR en realidad aumentada	Códigos QR integrados en experiencias AR	Nuevo vector de ataque más inmersivo
QR en wearables	Pagos y autenticación por QR en smartwatches	Superficie de ataque ampliada
Deepfake + quishing	Vídeos deepfake que muestran QR “de confianza”	Mayor efectividad del engaño
QR con NFC combinado	Ataques que combinan QR visual con NFC malicioso	Doble vector de ataque
Regulación específica	Leyes que obliguen a proteger QR en espacios públicos	Mayor responsabilidad empresarial
Estándares de seguridad QR	Certificación de QR legítimos (firma digital embebida)	Posible solución técnica definitiva

Firma digital en códigos QR: la solución que viene

Organismos como ETSI y ISO están trabajando en estándares que permitirían firmar digitalmente el contenido de un código QR. El escáner del móvil verificaría automáticamente la firma y alertaría si el QR no está firmado o la firma no es válida. Esta tecnología, aún en fase de estandarización, podría eliminar la mayoría de ataques de quishing en el futuro.

Conclusión

El quishing representa una evolución del phishing que explota la confianza generalizada en los códigos QR y la incapacidad de los sistemas de seguridad convencionales para analizar su contenido. Su crecimiento exponencial en España y a nivel global lo convierte en una de las amenazas más relevantes para usuarios y empresas.

La detección requiere concienciación del usuario (verificar URLs antes de abrirlas, desconfiar de QR en contextos inesperados) y medidas preventivas por parte de las empresas (QR dinámicos, verificación periódica, URL legible impresa). Cuando el ataque se materializa, el análisis forense del código QR y su infraestructura permite documentar el fraude, identificar al atacante cuando es posible, y generar un informe pericial que refuerce la posición de la víctima en procedimientos judiciales y reclamaciones bancarias.

Referencias y fuentes

FBI Internet Crime Complaint Center (IC3) — “Public Service Announcement: Cybercriminals Tampering with QR Codes to Steal Victim Funds” (enero 2022). Disponible en: ic3.gov
INCIBE — “Alertas de seguridad sobre códigos QR fraudulentos” (2024-2025). Instituto Nacional de Ciberseguridad de España. Disponible en: incibe.es
Europol — “Internet Organised Crime Threat Assessment (IOCTA) 2025”. Incluye sección sobre quishing. Disponible en: europol.europa.eu
ISO/IEC 18004:2015 — “Automatic identification and data capture techniques — QR Code bar code symbology specification”. Estándar técnico de códigos QR.
Real Decreto Legislativo 19/2018 — Ley de Servicios de Pago. Artículos 44-46 sobre responsabilidad en operaciones de pago no autorizadas.
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal — Artículos 248-251 (estafa), 264 (daños informáticos), 390 (falsedad documental), 401 (usurpación de estado civil).
Directiva (UE) 2015/2366 (PSD2) — Directiva de Servicios de Pago revisada. Artículo 97 sobre autenticación reforzada del cliente.
Policía Nacional — “Alertas sobre estafas con códigos QR: multas falsas y QR manipulados” (2025). Disponible en: policia.es
Barracuda Networks — “QR Code Phishing: The Rising Threat of Quishing” (2024). Informe técnico sobre tendencias de quishing.
Cofense — “QR Code Phishing: How Threat Actors Are Using QR Codes” (2024). Análisis de campañas reales de quishing.
NIST SP 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Management. Recomendaciones de autenticación aplicables a pagos por QR.
HP Wolf Security — “Machine Identification Codes in Laser Printers”. Documentación sobre puntos amarillos de rastreo en impresoras láser.

Última actualización: 30 de marzo de 2026 Categoría: Ciberataques Código: CIB-050

Preguntas Frecuentes

¿Qué es el quishing y cómo funciona?

El quishing es un tipo de phishing que utiliza códigos QR fraudulentos para redirigir a la víctima a sitios web maliciosos. El atacante crea un código QR que apunta a una URL de phishing y lo coloca en lugares de confianza: pegado sobre el QR legítimo de un parquímetro, en una multa falsa, en un email corporativo o en el menú de un restaurante. Al escanearlo, la víctima accede a un sitio que roba sus credenciales o instala malware.

¿Cómo puedo saber si un código QR es falso?

Antes de escanear: verifica que el QR no sea una pegatina superpuesta sobre otro código. Después de escanear: comprueba la URL antes de abrirla (tu móvil muestra una vista previa). Desconfía de URLs acortadas, dominios desconocidos o que no coincidan con la empresa esperada. Nunca introduzcas datos bancarios o contraseñas en una web a la que has llegado por QR sin verificar el dominio.

¿Las estafas con códigos QR son delito en España?

Sí. El quishing se tipifica como estafa (art. 248 del Código Penal) con penas de 6 meses a 3 años de prisión. Si el perjuicio supera los 50.000€ o afecta a muchas víctimas, se aplica la estafa agravada (art. 250) con penas de 1 a 6 años. Además, puede concurrir usurpación de estado civil (art. 401) si el QR suplanta a una empresa legítima.

¿Qué hago si he escaneado un QR fraudulento?

Actúa rápido: 1) No introduzcas ningún dato. Si ya lo hiciste, cambia inmediatamente las contraseñas afectadas. 2) Si diste datos bancarios, contacta con tu banco para bloquear la tarjeta. 3) Escanea tu dispositivo con un antivirus. 4) Haz capturas de pantalla del QR y la URL. 5) Denuncia ante la Policía Nacional o la Guardia Civil. 6) Reporta a INCIBE (017).

¿Un perito informático puede rastrear quién creó un QR malicioso?

Sí. El análisis forense del QR incluye: decodificación del contenido embebido, análisis de la URL de destino, investigación WHOIS del dominio, análisis de la infraestructura del servidor (IP, hosting, certificados SSL), rastreo de registros de acceso y correlación con otros casos similares. Si el QR estaba impreso físicamente, también se puede analizar la impresora utilizada a través de los puntos amarillos de rastreo.

¿Por qué están aumentando las estafas con QR?

Varios factores: 1) La pandemia COVID-19 generalizó el uso de QR (menús, pagos, certificados). 2) Los usuarios confían en los QR sin verificar la URL. 3) Los filtros anti-phishing de email no pueden analizar el contenido de un QR embebido en una imagen. 4) Crear un QR malicioso es trivial y gratuito. 5) Los QR físicos (pegatinas) son difíciles de rastrear digitalmente.

¿Puede mi empresa ser responsable si un cliente es estafado con un QR falso en nuestro local?

Depende. Si la empresa no tomó medidas razonables para proteger sus códigos QR (por ejemplo, permitir que cualquiera pegue adhesivos sobre sus QR), podría existir una responsabilidad por negligencia. Es recomendable: verificar periódicamente la integridad de los QR en el local, usar QR dinámicos con monitorización, e informar a los clientes de la URL legítima.

¿Cómo se analiza forense un código QR malicioso?

El proceso incluye: 1) Fotografía del QR con metadatos de ubicación y fecha. 2) Decodificación del contenido (URL, vCard, texto) sin ejecutarlo. 3) Análisis de la URL en entorno sandboxed. 4) Captura del sitio de destino con herramientas forenses. 5) Análisis WHOIS, DNS e infraestructura del servidor. 6) Preservación de toda la evidencia con hashes SHA-256. 7) Si es QR físico: análisis de la pegatina, tipo de impresión, adhesivo utilizado.

¿Los QR dinámicos son más seguros que los estáticos?

Los QR dinámicos ofrecen ventajas de seguridad: permiten monitorizar los escaneos en tiempo real (detectando picos anómalos), cambiar la URL de destino sin modificar el código impreso, establecer fechas de caducidad y proteger con contraseña. Sin embargo, si la plataforma que gestiona el QR dinámico es comprometida, todos los QR gestionados quedan afectados.

¿Qué sectores son más afectados por el quishing en España?

Los más afectados son: hostelería (QR de menús sustituidos por pegatinas), aparcamientos y parquímetros (QR de pago falsificados), administración pública (multas falsas con QR), comercio electrónico (QR en paquetes falsos de Correos/Amazon), y sector bancario (QR en emails que simulan verificaciones de seguridad). INCIBE y la Policía Nacional han emitido alertas específicas sobre todos estos vectores.

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita