What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Guía de campo

Estafas con QR a tener en cuenta en 2026

Un código QR no es más que una cadena codificada. El peligro no está en el formato, sino en lo que esa cadena le indica a tu teléfono que haga, y en que normalmente escaneas sin leer. Aquí están los diez ataques que ocurren ahora mismo, cómo se ve cada uno en la práctica y cómo detectarlo antes de pulsar.

Verificar un QR ahora → Estándares QR que decodificamos →

1. Pegatina sobre QR en parquímetros, menús y cargadores de VE

Cómo se ve: Una pequeña pegatina adhesiva colocada con cuidado sobre el QR legítimo de un parquímetro, menú de restaurante, cargador de vehículo eléctrico o terminal de autopago. El QR de la pegatina parece idéntico al original. Escanéalo y llegas a una página de pago que parece la del municipio o del restaurante. Paga, y el dinero va al atacante. Varias grandes ciudades de EE. UU. sufrieron esto en 2023-2024 (San Antonio, Austin, Houston); las pegatinas en cargadores de VE se dispararon en 2024-2025.

Cómo detectarlo: Observa el QR. ¿Está impreso directamente en la superficie (grabado, pintado, integrado bajo laminado)? ¿O es una pegatina? Pasa una uña por el borde; si se levanta, es una pegatina. Los QR de parquímetros y cargadores de VE son casi siempre permanentes. En los menús, pregunta al camarero qué página de pago es la real; los operadores legítimos no tienen problema en confirmarlo. Y pasa el QR por nuestro escáner antes de pagar, el destino decodificado es la pista definitiva.

Más información: QR de pago a comerciante EMVCo →

2. Wi-Fi gemelo malicioso en aeropuertos, hoteles y centros de congresos

Cómo se ve: Una tarjeta impresa o pegatina anuncia Wi-Fi gratuito: «Airport_Free_WiFi», «Starbucks_Guest_2», «ConferenceGuest». Escaneas el QR, tu teléfono se une a la red, tienes internet. Pero la red es el punto de acceso del teléfono del atacante en la misma sala. Hace de proxy con el tráfico hacia internet real para que nada parezca roto, pero ve tus consultas DNS, nombres de host SNI, cualquier tráfico HTTP no cifrado y puede servir portales cautivos falsos pidiendo credenciales.

Cómo detectarlo: Verifica que el SSID coincide con lo que el lugar anuncia oficialmente. Los aeropuertos indican el nombre de su Wi-Fi para visitantes en el sitio web oficial; los hoteles, en la recepción. Los nombres similares (caracteres extra, letras intercambiadas, «Free» añadido) son la firma del ataque. Nuestro escáner marca los SSID sospechosos comparándolos con una lista de nombres de marca de alta imitación. En caso de duda, usa simplemente los datos móviles.

Más información: QR de credenciales Wi-Fi →

3. Phishing con QR de passkey

Cómo se ve: Estás iniciando sesión en un sitio desde un escritorio. El sitio muestra un QR para vincular la passkey de tu teléfono. Un atacante que te engañó para ir al sitio equivocado te muestra su QR, vinculando tu passkey a SU sesión activa en el sitio real. Ahora están en tu cuenta. El transporte híbrido CTAP 2.2 (el estándar detrás de los QR de passkey) es criptográficamente sólido; el ataque es puramente humano: conseguir que escanees un QR de una pantalla que no es el sitio que crees.

Cómo detectarlo: Antes de escanear un QR de passkey, confirma la URL de la página en la barra de direcciones del navegador. Los sitios de phishing suelen usar un typosquat (guion extra, letras intercambiadas, .co en lugar de .com). El QR de passkey en sí está bien; la pregunta es si la página que lo muestra es real. Además: los QR de passkey tienen corta duración (menos de un minuto, por lo general); un QR en una página de ayuda estática durante horas es sospechoso.

Más información: QR de passkey FIDO2 →

4. Robo por exportación del autenticador

Cómo se ve: Alguien te pide tu teléfono desbloqueado «para una foto rápida». Abre Google Authenticator, pulsa Transferir cuentas → Exportar, genera un QR y lo fotografía con su teléfono. Luego te devuelve el tuyo. Ese QR contiene todas las semillas del autenticador (Google, AWS, GitHub, tu banco, tu exchange de criptomonedas) codificadas en base64 en un protobuf. A partir de ahí pueden generar tus códigos de 6 dígitos para cada cuenta, indefinidamente, hasta que restablezca cada una.

Cómo detectarlo: La defensa no consiste en detectar el QR, sino en no dejar que se genere. No entregues un teléfono desbloqueado. Si necesitas compartir algo, hazlo tú mismo. Además: la mayoría de las apps de autenticación exigen ahora desbloqueo biométrico en el flujo de exportación, pero la de Google no lo hizo hasta finales de 2023 y los teléfonos antiguos pueden seguir omitiéndolo. Si sospechas que ocurrió, trátalo como una brecha total y restablece el 2FA en cada cuenta que tengas en el autenticador.

Más información: QR de otpauth-migration →

5. Publicación de fotos de tarjetas de embarque

Cómo se ve: Un viajero publica una foto de su tarjeta de embarque en Instagram o LinkedIn, «¡Rumbo a Tokio!» El código de barras PDF417 (o QR) del pase codifica en texto claro la referencia de reserva de la aerolínea (PNR) y el número de billete. Un atacante que captura pantalla de la foto decodifica el código, busca la reserva en el sitio de la aerolínea (PNR + apellido suele ser suficiente) y puede cancelar el viaje, cambiar el asiento, ver el itinerario completo o activar devoluciones.

Cómo detectarlo: No publiques fotos de tarjetas de embarque. Si debes hacerlo, difumina o recorta el código de barras Y la referencia de reserva (generalmente impresa en algún lugar como un código alfanumérico de 6 caracteres). El QR o código de barras es el objetivo perfecto porque es legible por máquina desde cualquier captura de pantalla.

Más información: QR de tarjeta de embarque IATA BCBP →

6. Captura masiva de datos del código de barras del carné de conducir

Cómo se ve: Un bar, discoteca, tienda de vapeo, dispensario u otro comercio con restricción de edad escanea el código de barras PDF417 del reverso de tu carné para «verificar tu edad». Ese código codifica en texto claro TODOS los atributos del carné: nombre, dirección, fecha de nacimiento, número de carné, altura, peso, color de ojos. Algunos operadores retienen esos datos, los venden a agregadores de marketing o los pierden en brechas de seguridad. Un portero de verdad solo necesita saber una cosa: ¿tienes la edad legal? No necesita tu dirección.

Cómo detectarlo: Pregunta qué se escanea y para qué. Algunos locales solo necesitan confirmar la edad; otros (grandes clubs en ciertas jurisdicciones) están obligados legalmente a retener datos. Oponte si el local es pequeño e informal. Si tienes un carné de conducir móvil, úsalo; los mDL admiten divulgación selectiva (el bar puede preguntar solo «¿mayor de 21? sí/no» sin ver tu fecha de nacimiento).

Más información: PDF417 del carné de conducir AAMVA →

7. QR drenador de criptomonedas en eventos NFT y arte físico

Cómo se ve: Un QR en una reunión de NFT, inauguración de galería, stand de conferencia o dentro de arte físico promete acuñar un NFT gratuito o reclamar un airdrop. Escanéalo; el QR abre una sesión WalletConnect o un enlace profundo a tu app de cartera, y se te pide firmar una transacción. La transacción aprueba un contrato malicioso para vaciar todos los tokens de tu cartera. Los kits de drenaje son software comercial; el QR es solo el mecanismo de entrega.

Cómo detectarlo: Lee el aviso de transacción en tu cartera antes de firmar. Si solicita aprobaciones de tokens (especialmente setApprovalForAll o gasto ilimitado con approve) para un contrato que no reconoces, rechaza. Los QR de «NFT gratis» en stands aleatorios no merecen el riesgo. Usa una cartera «caliente» separada con saldo mínimo para cualquier interacción en persona; guarda tus activos reales en una cartera que nunca conectes a sesiones QR.

8. Pegatina sobre el QR de una ONG o donativo

Cómo se ve: Un folleto de una organización benéfica real se exhibe en un espacio público. Un atacante cubre el QR de donación con su propia pegatina que apunta a una cartera que controla o a una página de donación falsa. Las donaciones van al atacante. Es más común después de desastres naturales y grandes noticias; la organización legítima está haciendo difusión intensiva y el atacante se aprovecha.

Cómo detectarlo: Igual que en el n.º 1: ¿el QR es una pegatina sobre la versión impresa o forma parte del impreso original? Además, dona escribiendo tú mismo la URL de la organización en el navegador o usa la app oficial. Los QR son cómodos pero no constituyen una cadena de confianza.

9. QR de pasaporte de producto falsificado

Cómo se ve: Un QR en un textil, batería, dispositivo electrónico o mueble dice ser el Pasaporte Digital de Producto de la UE (requisito del ESPR, con implantación escalonada entre 2027 y 2030). Escanéalo y una página web elegante te muestra la procedencia del producto, contenido reciclado y afirmaciones de sostenibilidad. Nada es real; el fabricante de la falsificación simplemente pagó por una página genérica con estilo de PDP. A medida que el PDP se extienda, espera que esto escale: los reguladores aún están construyendo el registro de la UE que ancla la autenticidad.

Cómo detectarlo: Comprueba si el campo del emisor en el PDP apunta a un operador económico registrado en la UE. La Comisión Europea aún no ha publicado el registro consolidado a mediados de 2026; hasta entonces, trata las afirmaciones del PDP como informativas y no como verificadas. Nuestro escáner extrae el campo del emisor y la URL del servidor PDP para que puedas hacer esa consulta.

Más información: Pasaporte Digital de Producto de la UE →

10. Verificador mDL hostil que solicita demasiado

Cómo se ve: Presentas tu carné de conducir móvil (mDL) en un bar o mostrador de venta al público. La app verificadora solicita nombre completo, fecha de nacimiento completa, número de carné, dirección Y foto cuando la transacción solo requiere verificación de edad. Lo apruebas por costumbre. Ahora un pequeño comercio tiene tu identidad completa en sus registros, retenida quién sabe cuánto tiempo, vendida a quién sabe quién. El estándar exige que la cartera te muestre la lista de solicitudes, pero no impide que apruebes divulgaciones generales.

Cómo detectarlo: Lee el aviso de solicitud. Si el verificador quiere más de lo que la transacción requiere (un bar pidiendo tu dirección, un dependiente pidiendo tu número de carné), recházalo y solicita la versión mínima (solo age_over_21). Si se niegan, tienes que decidir: facilitar más de lo necesario o retirarte. El estándar está de tu parte; el ecosistema del lado verificador aún no está regulado.

Más información: Carné de conducir móvil (ISO 18013-5) →

Qué hacer si ya escaneaste algo sospechoso

Sitio de pago: Si introdujiste los datos de tu tarjeta, contacta con tu banco ahora para marcar la transacción y solicitar una nueva tarjeta. No esperes a que se cargue el importe.
Wi-Fi: Olvida la red en tu teléfono. Revisa rápidamente las apps usadas recientemente por si alguna solicita credenciales. Cambia las contraseñas de todo lo que usaste mientras estabas conectado, especialmente lo que usó HTTP sin cifrar.
Passkey: Inicia sesión en la cuenta afectada, ve a configuración de seguridad, consulta las passkeys activas y elimina cualquiera que no reconozcas. Cambia también la contraseña si el sitio lo permite.
Exportación del autenticador: Trátalo como una brecha total. Restablece el 2FA en cada cuenta que estuviera en el autenticador. Empieza por las de mayor valor (banco, correo, exchange de criptomonedas, GitHub, AWS).
Tarjeta de embarque publicada: Contacta con la aerolínea, cambia la referencia de reserva si es posible y configura una alerta de estado de vuelo para detectar si alguien modifica la reserva.
Drenador de criptomonedas firmado: Mueve los activos restantes a una nueva cartera de inmediato. Revoca las aprobaciones de contratos en cada cadena que hayas usado (revoke.cash y herramientas similares cubren la mayoría). Los tokens drenados suelen ser irrecuperables.

Verifica antes de escanear

Arrastra cualquier QR (imagen, pega o cámara) a nuestro escáner. Verás el payload decodificado, la cadena de redirección si es una URL, quién puede cambiar el destino en adelante y los indicadores de reputación. La decisión es tuya; la información está en pantalla antes de que actúes.

Abrir escáner →