Los códigos QR se han convertido en la llave de entrada a pagos rápidos, descuentos, menús, encuestas o promociones. Pero también en una puerta trasera para el fraude digital. El QRishing (o quishing), phishing a través de códigos QR manipulados, se ha disparado en los últimos meses, especialmente en sectores como el retail y la banca, donde el escaneo se ha convertido en parte habitual de la experiencia.
Desde pegatinas sobre carteles reales hasta QR enviados por email o en PDFs, los atacantes utilizan la confianza del usuario en el código para redirigirle a webs fraudulentas, robar credenciales o instalar malware. La amenaza es silenciosa, eficaz y está escalando, en parte porque los filtros tradicionales de seguridad suelen pasar por alto este tipo de formatos.
Una amenaza en ascenso que preocupa a la banca
En 2024, el 22% de las campañas de phishing detectadas ya utilizaban códigos QR. Bancos como HSBC, Santander, JPMorgan Chase o BBVA han lanzado alertas específicas y campañas de concienciación para sus clientes. La preocupación es doble: proteger la transacción y blindar la confianza.
La respuesta se articula en tres grandes frentes:
- Códigos QR dinámicos: que cambian con cada operación, evitando que puedan ser replicados o utilizados fuera de contexto.
- Detección anticipada: herramientas de análisis visual y semántico que escanean la estructura del QR antes de decodificarlo, buscando patrones anómalos o URL sospechosas.
- Arquitectura Zero Trust: un modelo que no confía por defecto en ningún acceso, incluyendo los QR, y que impone verificaciones constantes incluso dentro del entorno de confianza.
El retail, cada vez más expuesto
En el comercio físico, los códigos QR están por todas partes: en escaparates, mesas de restaurante, terminales de autoservicio o cartelería promocional. A menudo se trata de códigos estáticos, sin protección ni caducidad, que pueden ser sustituidos fácilmente por otros fraudulentos sin que nadie lo perciba a simple vista.
La experiencia de usuario en tienda, que busca ser fluida y digital, se convierte en un punto vulnerable. Algunos casos detectados incluyen QR falsos colocados sobre máquinas de pago en parkings, carteles de promociones sustituidos por códigos maliciosos en centros comerciales o ataques mediante QR en cartas de restaurante.
Los retailers más innovadores están reaccionando con soluciones como los códigos dinámicos para promociones, encuestas y pagos, integrados en apps propietarias que permiten trazabilidad; la verificación visual con diseños personalizados, logotipos incrustados, marcos identificativos o tecnologías antifraude como hologramas; o señalética educativa, es decir, carteles que explican cómo verificar un QR antes de escanearlo y qué hacer si se detecta algo sospechoso.
Formación y pedagogía: el nuevo activo digital
Tanto bancos como retailers están comprendiendo que la tecnología por sí sola no basta. El usuario debe saber identificar riesgos y actuar con criterio. Por eso proliferan campañas de formación para empleados y clientes: qué mirar antes de escanear, cómo verificar un enlace, dónde denunciar una sospecha.
La alfabetización digital se convierte en un nuevo eje de fidelización. Enseñar a los clientes a protegerse también es una forma de generar confianza en la marca. Y en un contexto de creciente regulación, como la nueva directiva NIS2 en Europa, también es una obligación legal y reputacional.
En paralelo, se están desarrollando apps y escáners que muestran el destino del QR antes de abrirlo, alertan de enlaces maliciosos o validan la autenticidad del código. Herramientas de verificación visual con IA y soluciones como los «QR tamper-proof» están ganando tracción.
Confianza cero?, pero experiencia total
En este nuevo contexto, la seguridad ya no puede ir en contra de la experiencia. El reto es crear una interacción fluida pero protegida. Por eso se habla cada vez más de «confianza cero con experiencia total»: sistemas que no asumen nada por defecto, pero tampoco interrumpen el flujo del cliente.
Esto implica rediseñar toda la experiencia en torno al código QR: desde su diseño visual hasta su gestión, trazabilidad y comunicación. En este sentido, el QR deja de ser un simple canal y se convierte en un activo digital que debe ser auditado con el mismo rigor que una web o una app.
El camino hacia una interacción más segura pasa por aunar tecnología, diseño, pedagogía y transparencia. Y también por crear estándares compartidos que unifiquen buenas prácticas y refuercen la confianza en este formato.
impulsada por las operadoras de telefonía?