Estafas con Códigos QR: Lo que Tus Hijos Escanean Sin Pensar Puede Costarles Caro
Tabla de contenido
General 13 min de lectura

Estafas con Códigos QR: Lo que Tus Hijos Escanean Sin Pensar Puede Costarles Caro

Aquí te platico cómo funciona el 'quishing' — el phishing por códigos QR — dirigido a adolescentes, dónde aparecen los QR falsos y qué enseñarles antes de que escaneen cualquier cosa.

Era un sábado en el centro comercial. Tu hija de 14 años vio un código QR pegado en una mesa del food court que prometía Wi-Fi gratis y un cupón de descuento en su tienda favorita. Lo escaneó sin pensarlo dos veces, llenó un formulario con su nombre, correo y número de celular “para activar el descuento.” Dos días después empezó a recibir llamadas de números desconocidos y mensajes de phishing a su WhatsApp. La información que entregó en 30 segundos — nombre, correo y celular — fue suficiente para meterla en listas de spam y comenzar intentos de fraude más sofisticados. Esto tiene nombre: se llama quishing, y es uno de los vectores de ataque de más rápido crecimiento en 2025 y 2026.

Lo más importante

  • El “quishing” combina códigos QR con phishing clásico para evadir filtros de seguridad que solo analizan texto
  • Los adolescentes son el blanco ideal porque están acostumbrados a escanear QR sin verificar a dónde llevan
  • Los códigos QR falsos aparecen en lugares físicos (mesas, postes, volantes) y digitales (emails, Discord, TikTok)
  • La única defensa confiable es ver la URL completa ANTES de continuar, nunca después de llenar el formulario
  • La CISA y el FBI emitieron alertas específicas sobre quishing en 2024 dirigido a menores de edad

Qué es el Quishing y Por Qué los Adolescentes Son el Blanco Perfecto

La palabra “quishing” combina QR Code + Phishing. Cuando escaneamos un código QR, nuestro cerebro hace un salto de fe: asumimos que el código lleva a donde dice el cartel o el contexto que lo rodea. Los atacantes explotan exactamente esa brecha de atención.

Un QR es, técnicamente, solo una URL codificada en imagen. Los filtros de spam de correo electrónico, los sistemas de detección de malware corporativos y hasta muchas soluciones de ciberseguridad del hogar analizan texto e hipervínculos, pero no el contenido de una imagen. Un QR falso puede llegar por email a una bandeja de entrada corporativa o familiar sin disparar ninguna alarma, porque visualmente parece una imagen inocua.

Según el reporte de amenazas de Hoxhunt de 2024, los ataques de quishing aumentaron un 587% entre el primer y cuarto trimestre de 2024. La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) y el FBI emitieron conjuntamente en diciembre de 2024 un aviso sobre campañas de quishing dirigidas específicamente a menores de edad, incluyendo engaños relacionados con plataformas de gaming y redes sociales.

Por qué los adolescentes son el blanco favorito

Los adolescentes de 12 a 17 años crecieron con los menús QR de los restaurantes post-pandemia. Escanear es un reflejo automático para ellos — lo hacen sin el nivel de sospecha que un adulto podría aplicar. Además:

  • Usan el celular para casi todo, lo que significa que la URL del QR se abre directamente en el navegador móvil
  • Son usuarios frecuentes de plataformas donde se comparten QR codes (Discord, TikTok, Instagram)
  • Tienen menos experiencia reconociendo URLs sospechosas
  • Con frecuencia tienen acceso a métodos de pago asociados (Apple Pay, Google Pay, cuentas de Clip o Mercado Pago)

Los 4 Tipos de Códigos QR Falsos Más Comunes

1. QR de “Wi-Fi gratis” en lugares públicos

Esta es la variante más extendida en México y América Latina. Un código QR pegado en una mesa de café, aeropuerto, mall o biblioteca promete acceso a Wi-Fi. El código lleva a una página que pide email y contraseña “para verificar la cuenta.” Muchos adolescentes ingresan sus credenciales de Gmail o Outlook sin pensarlo.

Lo que debes saber: El Wi-Fi gratuito legítimo nunca requiere contraseña de cuenta personal. Si el formulario pide más que un simple email, es una señal roja.

2. QR de descuentos y cupones falsos

Muy popular en TikTok e Instagram: una cuenta con muchos seguidores publica un “cupón exclusivo” con un código QR para obtener descuento en Oxxo, Starbucks, Nike o Amazon. El código lleva a un sitio que imita al retailer y solicita datos bancarios para “activar el beneficio.”

La FTC señaló en su reporte de 2024 que los cupones falsos representaron el 18% de todos los reportes de fraude de adolescentes de 13 a 17 años en Estados Unidos, y la tendencia se replica en México según datos de la CONDUSEF.

3. QR en Emails y Discord

Esta variante es más sofisticada. Un email que aparentemente viene de Epic Games, Steam, PlayStation o Roblox incluye un código QR en lugar de un link de texto, alegando que es “para mayor seguridad.” El QR lleva a una página de phishing que solicita credenciales de la cuenta gaming.

En Discord, bots o cuentas comprometidas envían QR codes en mensajes directos prometiendo skins gratuitas, roles exclusivos de servidor o acceso anticipado a betas.

4. QR de “verificación de identidad” en redes sociales

Un tipo de ataque más nuevo: el atacante comenta en publicaciones de adolescentes que “su cuenta está a punto de ser suspendida” y proporciona un QR para “verificar identidad.” El código lleva a un sitio que solicita usuario, contraseña y código de autenticación en dos factores, suficiente para tomar control de la cuenta.

Tabla: Dónde Aparecen los QR Falsos y Cómo Detectarlos

Ubicación del QRSeñuelo típicoSeñal de alertaAcción correcta
Mesa de restaurante / mallWi-Fi gratis o descuentoPide contraseña de cuentaPide la clave al empleado
Email de plataforma gaming”Verifica tu cuenta”QR en lugar de link de textoVe directamente al sitio oficial
TikTok / Instagram postCupón de descuentoCuenta sin historial verificableBusca el cupón en el sitio oficial
Grupo de DiscordSkin / rol gratuitoMensaje de cuenta recienteIgnora y reporta
Volante en la calleSorteo / concursoPide datos bancariosDescarta el volante
Cartel universitario / escolarEvento o tallerURL destino no coincideConsulta con el organizador

Cómo Enseñarle a Tu Hijo la Regla de los 3 Segundos

No le pidas a tu hijo que sea paranoico — pídele que aplique tres segundos de pausa antes de llenar cualquier formulario en una página a la que llegó por QR.

Los 3 pasos antes de llenar cualquier cosa:

  1. Ve la barra de URL completa — ¿dice realmente epicgames.com o dice epic-games-descuentos.com? El celular a veces muestra solo la primera parte; toca la barra para ver el URL completo
  2. Pregúntate: ¿por qué necesitan esto? — El Wi-Fi gratuito no necesita tu contraseña de Google. Un cupón no necesita tu número de tarjeta
  3. Si dudas, busca el sitio oficial por tu cuenta — Cierra la página del QR, abre una nueva pestaña y busca la empresa directamente en Google o en el App Store

El ejercicio práctico del “QR quiz”

Una vez a la semana, muéstrale a tu hijo una URL inventada y pregúntale si parece legítima. Por ejemplo:

  • amazon-ofertas-mx.com — falso (Amazon usa amazon.com.mx)
  • roblox.com/promo-codes — potencialmente legítimo
  • r0blox.com/free-robux — falso (la “o” es un cero)

Este ejercicio tarda 2 minutos y construye el músculo de verificación que necesitan.

El Quishing en el Contexto Escolar

Una tendencia preocupante que documentó el INCIBE (Instituto Nacional de Ciberseguridad de España) en 2024: códigos QR falsos colocados encima de los QR legítimos en materiales escolares. Un atacante puede pegar un adhesivo con QR falso sobre el QR real de un manual, un cartel escolar o incluso la credencial de entrada a la escuela.

En México, el CERT-MX (equipo de respuesta a incidentes cibernéticos de la Guardia Nacional) recomienda a las instituciones educativas revisar periódicamente que los QR en materiales impresos no hayan sido modificados físicamente.

Si tu hijo trae materiales escolares con QR, es una práctica sana que la primera vez escanees tú también para verificar el destino antes de que él lo use.

Qué Hacer si Tu Hijo ya Cayó en un QR Falso

La velocidad de reacción importa mucho. Sigue estos pasos en orden:

Si solo proporcionó email:

  • Cambia la contraseña del email afectado inmediatamente
  • Activa verificación en dos pasos en ese email
  • Monitorea si llegan emails de verificación de cuentas que no reconoce (podría indicar que el atacante está intentando registrar cuentas con ese email)

Si proporcionó contraseña de alguna cuenta:

  • Cambia la contraseña de esa cuenta y de cualquier otra donde use la misma contraseña
  • Revisa la actividad reciente de la cuenta en busca de accesos no reconocidos
  • Activa 2FA si no lo tenía

Si proporcionó datos bancarios o de tarjeta:

  • Llama inmediatamente al banco para reportar posible fraude y solicitar bloqueo preventivo de la tarjeta
  • En México: llama a CONDUSEF al 800 999 8080 para orientación sobre fraudes financieros digitales
  • Revisa los últimos movimientos de la cuenta

Qué Observar en los Próximos 3 Meses

  • Julio-agosto 2026 (regreso a clases): Se disparan los QR falsos en útiles escolares, grupos de WhatsApp de padres y supuestos portales de inscripción escolar
  • Septiembre (temporada de gaming): Los lanzamientos de nuevas consolas y juegos vienen acompañados de campañas de QR falsos prometiendo acceso anticipado
  • Noviembre-diciembre (Buen Fin y Navidad): Proliferan los QR de “cupones exclusivos” de tiendas departamentales falsas — el volumen se triplica en este periodo según la CONDUSEF
  • Cualquier momento en TikTok: Los algoritmos de TikTok amplifican contenido de sorteos y cupones — es el canal de distribución más efectivo para QR maliciosos dirigidos a adolescentes actualmente

Preguntas Frecuentes

¿El celular puede infectarse con malware solo por escanear un QR?

Escanear el código en sí no instala nada — el peligro viene de la página a donde lleva. Si esa página induce a descargar una app fuera del App Store o Play Store oficial, o a conceder permisos de accesibilidad, ahí sí puede haber riesgo de malware. Mantener el sistema operativo actualizado reduce significativamente este riesgo.

¿Los QR de restaurantes y cafés conocidos son seguros?

Generalmente sí, si el QR está en el menú oficial o viene directamente de un empleado. El riesgo está en QR pegados en las mesas con adhesivos que podrían haber sido colocados por cualquier persona. Cuando hay duda, pídele al mesero la URL directa del menú digital.

¿Mi hijo puede reportar un QR falso que encontró?

Sí. En México, puede reportarlo al CERT-MX a través de cert@ssf.gob.mx o en el sitio de la Guardia Nacional. Si el QR estaba en un email, la mayoría de los proveedores de correo (Gmail, Outlook) tienen botón de “reportar phishing” que envía la información a equipos de seguridad.

¿Hay apps que verifiquen si un QR es seguro antes de abrirlo?

Sí. Apps como Kaspersky QR Scanner o Trend Micro QR Scanner muestran la URL de destino y la analizan contra bases de datos de sitios maliciosos antes de abrirla. Son una buena opción para niños menores que aún están aprendiendo a identificar URLs sospechosas.

¿Los QR de pago como los de CoDi o Mercado Pago son vulnerables?

Los QR de pago de plataformas certificadas como CoDi (Banco de México) o Mercado Pago tienen validación criptográfica que los hace muy difíciles de falsificar. El riesgo principal ocurre cuando alguien crea un QR de pago a su propia cuenta haciéndolo pasar por el del negocio — por eso siempre verifica el nombre del receptor antes de confirmar cualquier pago.

Sobre el autor

Ricky Flores es el fundador de HiWave Makers e ingeniero eléctrico con más de 15 años de experiencia desarrollando tecnología de consumo en Apple, Samsung y Texas Instruments. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo saturado de tecnología. Lee más en hiwavemakers.com.

Fuentes

  1. Cybersecurity and Infrastructure Security Agency (CISA) & FBI. (2024). QR Code Phishing Targeting Youth and Educational Institutions. https://www.cisa.gov/news-events/alerts
  2. Hoxhunt. (2024). Phishing Trends Report 2024: The Rise of QR Code Phishing. https://www.hoxhunt.com/resources/reports
  3. Federal Trade Commission (FTC). (2024). Consumer Sentinel Network Data Book: Youth Fraud 2024. https://www.ftc.gov/enforcement/data-visualizations/consumer-sentinel-network
  4. CONDUSEF (Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros). (2024). Reporte de fraudes digitales México 2024. https://www.condusef.gob.mx
  5. INCIBE (Instituto Nacional de Ciberseguridad de España). (2024). Alerta: Código QR malicioso en materiales educativos. https://www.incibe.es/incibe-cert/alerta-temprana/avisos
  6. Banco de México. (2024). CoDi: Seguridad y protección del sistema de pagos. https://www.banxico.org.mx/sistemas-de-pago/codi-cobro-digital.html
Ricky Flores
Escrito por Ricky Flores

Fundador de HiWave Makers e ingeniero eléctrico con más de 15 años trabajando en proyectos con Apple, Samsung, Texas Instruments y otras empresas Fortune 500. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo impulsado por la tecnología.

Artículos relacionados

ACEs: qué predice el puntaje de adversidad infantil y cómo proteger a tus hijos
General

ACEs: qué predice el puntaje de adversidad infantil y cómo proteger a tus hijos

12 min de lectura
Agallas (Grit): Qué Muestra la Investigación de Duckworth Realmente
General

Agallas (Grit): Qué Muestra la Investigación de Duckworth Realmente

13 min de lectura
Ahorro vs. Inversión: Cómo Enseñar la Diferencia a los Niños Según Su Edad
General

Ahorro vs. Inversión: Cómo Enseñar la Diferencia a los Niños Según Su Edad

11 min de lectura