Pasaron de ser esa cosa rara que nadie escaneaba a estar en la carta de cada restaurante, en los billetes de avión, en la entrada de conciertos, en los carteles del metro y hasta en las multas de tráfico. Los códigos QR se han convertido en la forma más rápida de conectar el mundo físico con el digital. Y precisamente por eso, también se han convertido en una herramienta de ataque que los ciberdelincuentes adoran. Aquí tienes los usos que merecen la pena y los riesgos que casi nadie cuenta.
Un código QR (Quick Response) es un código de barras bidimensional que almacena información —normalmente una URL, pero también texto, datos de contacto, credenciales WiFi o instrucciones de pago— que tu móvil puede leer al escanearlo con la cámara. Fue inventado en 1994 por Denso Wave (filial de Toyota) para rastrear piezas en fábricas, pero su explosión masiva llegó con la pandemia de COVID-19, cuando los menús físicos se convirtieron en un riesgo sanitario. En 2024, según ScanTrust, se escanearon más de 30 millones de QR diarios solo en Europa.
Los usos legítimos que quizás no conoces
Más allá de abrir la carta de un restaurante, los QR tienen aplicaciones útiles que mucha gente desconoce.
Compartir tu WiFi sin decir la contraseña. En Android: Ajustes > WiFi > tu red > Compartir (genera un QR que el otro móvil escanea para conectarse automáticamente). En iPhone es similar desde iOS 11. Perfecto cuando llegan invitados y tu contraseña WiFi tiene 20 caracteres aleatorios.
Hacer pagos instantáneos. Bizum, PayPal y la mayoría de apps bancarias permiten pagar y cobrar mediante QR. En muchos países asiáticos y latinoamericanos, el pago por QR ha reemplazado prácticamente al efectivo: en China supera el 80% de las transacciones minoristas urbanas.
Compartir datos de contacto. Un QR puede contener una tarjeta de visita completa (vCard) con nombre, teléfono, correo y dirección. Escanear es más rápido que dictar el número y reduce errores.
Autenticación en dos pasos. Cuando configuras 2FA con una app de autenticación (Google Authenticator, Authy), el servicio te muestra un QR que escaneas para vincular tu cuenta al generador de códigos TOTP.
Identificación y billetes. Tarjetas de embarque, entradas de cine, tickets de transporte, recetas electrónicas… Los QR han reemplazado al papel impreso en muchos contextos. Tu billete de avión en el móvil funciona gracias a un QR.
El lado oscuro: quishing y otros riesgos
El mismo mecanismo que hace útiles a los QR —escanear algo sin pensar— es el que los hace peligrosos. A esta técnica de phishing mediante QR se la llama quishing.
QR en correos y mensajes. Un correo te pide escanear un QR «para verificar tu cuenta» o «confirmar un envío». El QR lleva a una web falsa que imita al servicio real. Es la misma lógica de los ataques que combinan phishing con malware y robo de datos, pero saltándose los filtros de spam: un filtro puede analizar una URL en texto, pero no puede «leer» el contenido de una imagen QR. De hecho, conviene tener muy presente cómo detectar un intento de phishing antes de escanear nada que llegue por correo.
QR pegados sobre QR legítimos. En parkings, restaurantes o máquinas expendedoras, un atacante pega un QR falso encima del real. El usuario escanea confiando en el contexto («estoy en un parking oficial, este QR debe ser legítimo») y acaba en una web de pago fraudulenta.
QR en multas y avisos falsos. Se han reportado casos de QR pegados en parabrisas de coches simulando una multa con un «pague aquí» que lleva a un sitio de cobro fraudulento. La Policía Nacional alertó en 2024 sobre este tipo de estafa en varias ciudades españolas.
Cómo protegerte al escanear códigos QR
Mira la URL antes de abrirla. La mayoría de cámaras de móvil modernas muestran la URL del QR antes de abrirla en el navegador. Si la dirección no te resulta familiar o tiene un dominio extraño (pago-parking-oficial.xyz en lugar de elproveedorreal.com), no la abras.
Desconfía de QR en contextos inesperados. Un QR en un correo electrónico que te pide verificar tu cuenta es sospechoso. Los servicios legítimos rara vez usan QR en correos; usan botones con enlaces que puedes inspeccionar.
Verifica QR físicos antes de escanear. Si estás en un restaurante y el QR parece una pegatina superpuesta sobre otra, desconfía. Los QR legítimos suelen estar impresos directamente en la superficie, no pegados encima.
No descargues apps escaneando QR de fuentes desconocidas. Un QR puede redirigirte a la descarga de un APK malicioso. Instala apps solo desde las tiendas oficiales (Google Play, App Store). La precaución es la misma que con los cargadores USB públicos que pueden comprometer tus datos: en espacios públicos, desconfía de lo que conectas o escaneas.
Usa un escáner de QR que muestre la URL antes de abrirla. La cámara nativa de Android y iPhone ya lo hace. Si usas una app de terceros, asegúrate de que te permita previsualizar el destino.
Cómo crear tus propios códigos QR
Generar un QR es gratuito y toma segundos. Herramientas como qr-code-generator.com, goqr.me o la función integrada de Chrome (clic derecho en cualquier página > «Crear código QR para esta página») permiten generar QR para URLs, textos, contactos o redes WiFi.
Si necesitas un QR con seguimiento (saber cuántas veces se ha escaneado, desde dónde, etc.), servicios como Bitly o QR Code Generator Pro ofrecen QR dinámicos con estadísticas, desde 5 € al mes.
Mi valoración
Mi regla personal con los QR es sencilla: en contextos confiables (mi propia cocina conectando un dispositivo al WiFi, una autenticación 2FA en una web oficial, mi tarjeta de embarque), los uso sin pensar. En contextos públicos o desconocidos (cartel pegado en la calle, correo no esperado, pegatina sospechosa sobre el QR original del restaurante), prefiero tomarme tres segundos para mirar la URL previsualizada o, directamente, escribir la dirección a mano. La comodidad nunca debería ganarle a un mínimo gesto de verificación. Tres segundos extra por escaneo es un precio irrisorio comparado con perder dinero o credenciales.
Preguntas frecuentes
¿Es seguro escanear cualquier QR?
No. Trata cada QR desconocido con la misma cautela que un enlace en un correo sospechoso. Previsualiza la URL antes de abrirla y desconfía si el contexto no cuadra.
¿Puede un QR instalar un virus en mi móvil?
Un QR por sí solo no puede instalar nada. Lo que hace es redirigirte a una web, y esa web podría intentar que descargues algo malicioso o que introduzcas datos. Mientras no descargues archivos ni introduzcas credenciales en sitios sospechosos, estás a salvo.
¿Los QR tienen fecha de caducidad?
Los QR estáticos (los que contienen directamente la URL o el texto) no caducan nunca. Los QR dinámicos (que redirigen a través de un servicio intermediario) pueden dejar de funcionar si el servicio se desactiva o el creador lo elimina.
¿Puedo escanear QR sin instalar ninguna app?
Sí. Tanto Android como iOS permiten escanear QR directamente con la cámara nativa, sin apps adicionales.