La Policía alerta: así es la estafa al escanear un código QR que cada vez está más extendida en las ciudades

Hace apenas unos años, los códigos QR eran un recurso marginal. Hoy, y desde la pandemia, forman parte de la rutina: los abrimos desde el móvil y los usamos para pagar el aparcamiento, consultar la carta de un restaurante, descargar entradas o acceder a promociones. Pero lo que parecía una solución tecnológica cómoda y rápida se ha convertido también en un arma en manos de los estafadores. La Policía Nacional ha lanzado un aviso contundente: cada vez son más comunes las estafas que utilizan pegatinas falsas con códigos QR en espacios públicos de ciudades españolas.

El auge del ‘QRishing’

El fenómeno tiene nombre propio: 'QRishing', una variante del clásico phishing. La mecánica es sencilla y peligrosa a la vez. Los delincuentes colocan pegatinas con un código QR falsificado en lugares donde habitualmente encontramos los originales: parquímetros, estaciones de recarga de coches eléctricos, bicicletas públicas o incluso surtidores de gasolina.

Cuando un ciudadano escanea ese código, en lugar de ir a la página legítima del servicio, es redirigido a una web falsa que imita a la original. Allí se le pide introducir datos bancarios, personales o realizar un pago directo. El resultado: dinero sustraído de la cuenta o robo de información sensible.

Según el Instituto Nacional de Ciberseguridad (INCIBE), este tipo de fraude ha crecido de forma notable en los últimos años debido a su bajo coste y a lo difícil que resulta para la víctima detectar la manipulación.

En Málaga y Madrid se han registrado recientemente varios episodios de este tipo de estafas. En la capital, por ejemplo, se detectaron códigos falsos en puestos de alquiler de bicicletas de BiciMAD. En Málaga, los estafadores fueron un paso más allá: llegaron a colocar multas falsas en parabrisas de vehículos, acompañadas de un QR que llevaba a una web que simulaba ser de la Dirección General de Tráfico (DGT). Una vez allí, los conductores eran instados a pagar la sanción de manera inmediata.

En Palma de Mallorca y en Cantabria también se han denunciado prácticas similares, especialmente en estaciones de recarga de coches eléctricos. Lo preocupante es que las pegatinas fraudulentas son prácticamente idénticas a las originales, lo que dificulta que el usuario sospeche.

La advertencia de la Policía

La Policía Nacional, consciente del aumento de casos, ha difundido un vídeo en TikTok en el que advierte de los riesgos de escanear cualquier código QR sin precauciones. En él, insisten en varias pautas:

• Revisar que el código no haya sido manipulado. Si parece una pegatina sobrepuesta o mal colocada, desconfía.
• Comprobar el enlace antes de acceder. Los móviles permiten ver una vista previa de la URL. Si la dirección no coincide con la oficial, mejor no seguir.
• Analizar la web visualmente. Una página fraudulenta suele mostrar pistas claras: imágenes de baja calidad, errores ortográficos, mensajes que generan urgencia o piden datos de manera agresiva.
• No instalar apps innecesarias. Basta con la cámara del teléfono para escanear; las aplicaciones de terceros pueden ser una puerta de entrada para malware.

“Antes de escanear, piensa dos veces. Un QR puede llevarte al lugar equivocado”, advierten desde el cuerpo policial.

Cómo protegerse de las estafas de QR

Además de los consejos básicos de la Policía, los expertos en ciberseguridad recomiendan varias medidas adicionales:

• No escanear códigos en lugares improvisados. Si aparece un QR en un poste, una pared o un cartel callejero, lo más seguro es ignorarlo.
• Mantener actualizado el móvil. Los sistemas operativos lanzan parches constantes para cerrar vulnerabilidades.
• Usar aplicaciones de escaneo seguras. Algunas ofrecen filtros de seguridad que bloquean enlaces sospechosos antes de abrirlos.
• En caso de duda, acudir a la web oficial directamente. Es más seguro teclear la dirección manualmente que fiarse de un QR.

Si alguien cree haber caído en la trampa, los pasos a seguir son claros: contactar con el banco para bloquear tarjetas, denunciar a la Policía y guardar pruebas del fraude, como capturas de pantalla de la web o del QR utilizado.

Un fraude que juega con la confianza

El 'QRishing' funciona porque se aprovecha de un gesto que ya hacemos de manera automática. La comodidad de escanear y pagar en segundos nos hace bajar la guardia. “Mucha gente confía ciegamente en los códigos QR porque los asocian con servicios oficiales o establecimientos de confianza”, explican desde el INCIBE.

Por eso, además de la prevención individual, la Policía insiste en la importancia de educar a los más vulnerables, como personas mayores o jóvenes poco familiarizados con la ciberseguridad. Enseñarles a revisar enlaces, desconfiar de páginas extrañas y reconocer señales de alerta puede marcar la diferencia entre una rutina sin riesgos y un fraude costoso.

La recomendación de la Policía es clara: antes de escanear, revisa bien dónde y a qué dirección te lleva ese código. Este pequeño gesto puede ahorrarte un gran disgusto.