Las denuncias por fraude con códigos QR se dispararon un 300% en España durante 2025, según datos de la Policía Nacional. El QR, ese cuadrado de píxeles que sustituyó a la carta de papel tras la pandemia, se ha convertido sin que nadie lo anunciara en uno de los vectores de ataque favoritos de los estafadores. No hace falta hackear nada ni tener conocimientos técnicos: basta con una impresora y un adhesivo.
La mecánica es tan sencilla que resulta perturbadora. El delincuente imprime un código QR que apunta a una web fraudulenta, lo convierte en pegatina y lo pega sobre el original en cualquier bar o restaurante. Tú llegas, te sientas, apuntas con la cámara y, sin saberlo, acabas en una página clonada que te roba los datos o instala malware en tu teléfono. Todo esto mientras esperas que lleguen las aceitunas.
Cómo funciona el engaño del QR falso en la mesa del bar
Lo que hace especialmente peligrosa esta estafa es que aprovecha un contexto de relajación total: estás de ocio, no de guardia. La mesa, el mantel, el soporte plastificado… todo irradia legitimidad. El cerebro no activa las mismas alertas que al abrir un correo sospechoso en el trabajo, y los criminales han aprendido a explotar exactamente ese momento de distensión.
El procedimiento es el siguiente: el estafador pega su adhesivo en un descuido del personal, habitualmente en mesas apartadas o terrazas con mucho movimiento. En cuanto alguien escanea el QR falso, la redirección ocurre en milisegundos y la víctima no percibe ninguna señal de alarma visual. La página de destino imita a la perfección el diseño de la carta digital o del sistema de pago del local, con fotos de comida y el logo del restaurante.
Qué diferencia el QR legítimo del falso: la clave está en tus dedos
Antes de que el término técnico te aleje del problema, conviene recordar que el QR fraudulento y el Qrishing son dos caras de la misma moneda: uno es el soporte físico del engaño y el otro, la técnica digital que lo completa. El nombre "Qrishing" funde las palabras QR y phishing, y describe exactamente esto: usar un código QR como anzuelo para suplantar una página web legítima y robar credenciales o datos bancarios.
La señal de alarma más fiable no está en la pantalla, está en la mesa. Un QR legítimo suele estar impreso directamente sobre el mantel de papel, grabado bajo el metacrilato o en una tarjeta rígida del propio local. Si al pasar el dedo notas una pegatina sobresaliendo, con bordes ligeramente levantados o una textura diferente al soporte, detente antes de escanear. Esa diferencia táctil de milímetros puede ahorrarte semanas de reclamaciones al banco.
Dos tipos de ataque con QR que debes conocer para protegerte
El primer escenario, y el más inmediato, es el de la pasarela de pago falsa. El QR fraudulento te lleva a una web que imita el sistema de cobro del restaurante o del parking cercano y te pide los datos de tarjeta para "completar el pedido" o "pagar la reserva". El dinero desaparece en una cuenta fantasma y, además, los datos de tu tarjeta quedan expuestos para cargos posteriores.
El segundo escenario es más silencioso pero igualmente devastador: el código QR inicia en segundo plano la descarga de un troyano bancario en tu dispositivo. Este malware no actúa de inmediato; espera pacientemente a que abras tu aplicación bancaria legítima para interceptar las credenciales y los SMS de verificación. El INCIBE registró en 2025 un repunte del 35% en denuncias relacionadas con QR maliciosos, con especial incidencia en zonas urbanas de alta rotación turística.
Dónde aparecen los QR falsos en España: los puntos más críticos
Los casos documentados en España van mucho más allá de la mesa del restaurante, aunque este sea el ejemplo más viral. Barcelona y Valencia fueron las primeras ciudades en las que se detectaron adhesivos fraudulentos en parquímetros municipales: los conductores introducían los datos de su tarjeta creyendo pagar el aparcamiento y el dinero iba directo a los estafadores.
Estos son los cuatro escenarios de mayor riesgo detectados por la Policía Nacional y el INCIBE en territorio español:
- Menús digitales en restaurantes y bares: el contexto de ocio desactiva las alertas del usuario.
- Parquímetros y zonas de pago urbano: la prisa y el tráfico favorecen el escaneo sin verificación.
- Patinetes y bicis de alquiler: las apps falsas roban credenciales de la cuenta del servicio.
- Multas y avisos en parabrisas: el miedo a una sanción empuja a actuar sin pensar.
Cómo denunciar y qué hacer si ya has caído en la trampa
Actúa en los primeros minutos
Si sospechas que has escaneado un QR malicioso, el tiempo es tu principal aliado. Desconecta el dispositivo de internet inmediatamente, tanto el WiFi como los datos móviles, para cortar cualquier comunicación activa del malware con sus servidores. A continuación, llama a tu banco para bloquear la tarjeta y pide que revisen los movimientos de las últimas horas, incluso si no ves nada raro todavía.
Pasos para denunciar el fraude
El siguiente movimiento es formalizar la denuncia. La Policía Nacional y la Guardia Civil disponen de formularios específicos para ciberdelitos en sus portales web, y el INCIBE tiene una línea de ayuda en ciberseguridad disponible para ciudadanos. Conserva capturas de pantalla de la URL a la que te redirigió el QR y, si puedes, fotografía el código físico antes de que alguien lo retire: ese adhesivo es una prueba material del delito.
El futuro del Qrishing y cómo va a evolucionar la defensa en 2026
La buena noticia es que la respuesta tecnológica está avanzando al mismo ritmo que la amenaza. Los sistemas operativos iOS y Android ya incorporan en 2026 previsualización de la URL completa antes de abrir cualquier enlace QR, lo que obliga al usuario a ver el destino real antes de confirmar la navegación. Muchos ayuntamientos españoles han empezado a aplicar sellos holográficos de seguridad sobre sus códigos QR en parquímetros, una medida física difícil de replicar para los estafadores con una impresora doméstica.
La recomendación de los expertos en ciberseguridad apunta a una combinación de sentido común analógico y herramientas digitales actualizadas: toca antes de escanear, lee la URL antes de pulsar y desconfía de cualquier QR que te pida datos bancarios para ver una simple carta de tapas. El Qrishing seguirá evolucionando, pero conocer el truco hace que la trampa pierda casi toda su efectividad.
