No te dejes APLASTAR: octubre es el Mes de la Concienciación sobre la Ciberseguridad. Creado por los alumnos de RaptorTech: Clive Besen y Pricilla Rivera Lazalde.
¡No te dejes escanear! Cómo protegerte del «quishing» y de los códigos QR maliciosos
Los códigos QR (códigos de respuesta rápida) están por todas partes: en los menús de los restaurantes, en carteles, en terminales de pago e incluso en los pasillos de tu colegio. Son prácticos, rápidos y forman parte importante de la vida moderna.
Pero esta gran comodidad conlleva un nuevo riesgo para la seguridad digital: el «quishing».
El «quishing» es una forma de phishing que utiliza códigos QR maliciosos para engañarte. Al igual que un correo electrónico de phishing intenta robarte las contraseñas o instalar malware, un intento de «quishing» trata de llevarte a realizar una acción peligrosa con solo escanear un código. ¡Escanear un código QR malicioso es tan peligroso como hacer clic en un enlace sospechoso que recibas en un mensaje de texto o en un correo electrónico!
4 reglas sencillas para el uso seguro de los códigos QR
Ni la cámara de tu smartphone ni una aplicación específica para escanear códigos QR pueden distinguir entre un código QR útil y legítimo y uno creado por un estafador. Depende de ti verificar la validez de los códigos QR.
Estas son las cuatro normas de seguridad imprescindibles que debes seguir antes de escanear:
1. Comprueba el código QR
Los hackers no necesitan crear su propio código QR; pueden pegar pegatinas con códigos QR sobre códigos QR legítimos para engañarte y que los escanees.
- Fíjate bien: ¿el código QR es una pegatina colocada sobre una copia impresa? ¿Está desalineado, abombado o se está despegando?
- Si te parece sospechoso, no lo abras: utiliza el formulario de registro en papel, escribe manualmente la dirección del sitio web o busca una fuente oficial de información.
- Más vale prevenir que curar: siempre es mejor no escanear un código QR legítimo que escanear uno malicioso.
2. ¡Comprueba siempre el enlace antes de pulsar sobre él!
Esta es tu medida de seguridad más importante. Cuando escaneas un código QR, tu teléfono o la aplicación de escaneo casi siempre te mostrará la URL (dirección web) a la que intenta llevarte antes de abrir la página.
- Detente y lee: antes de pulsar «Abrir» o «Ir», fíjate en la dirección. ¿Te parece correcto el nombre del sitio web? ¿Es un enlace corto (como bit.ly o tinyurl) que podría ocultar una dirección peligrosa?
- Comprueba si hay errores ortográficos: un enlace malicioso puede parecer auténtico, pero con un pequeño cambio, como «yootube.com» en lugar de «youtube.com» o «bankofamericca.com» en lugar de «bankofamerica.com». Aunque reconozcas el enlace, puede que no sea seguro. Los hackers utilizan caracteres Unicode similares en las URL para emplear caracteres que parecen idénticos a otra letra, pero que tu dispositivo lee de forma diferente.
- Ten cuidado con las descargas: si el enlace intenta descargar un archivo o una aplicación directamente en tu móvil, no sigas adelante a menos que estés absolutamente seguro de la fuente.
3. Desconfía de las indicaciones inesperadas
Los códigos QR pueden llevarte a páginas web que parecen páginas de inicio de sesión, pero que en realidad registran tu nombre de usuario y contraseña.
- Solicitud de inicio de sesión: Si el código solo debía mostrarte el calendario de eventos del colegio, ¿por qué de repente te pide la contraseña de tu correo electrónico o tu número de matrícula y tu PIN? Los sitios web legítimos rara vez te piden que inicies sesión inmediatamente después de escanear un código QR.
- No aceptes las solicitudes de privilegios: si aparece una ventana emergente indicando que la página web quiere acceder a tu ubicación, haz clic en «No permitir», a menos que esa información sea realmente necesaria.
4. Protege tus datos personales
Si un código QR te redirige a una página de pago, de inicio de sesión o de encuesta, pregúntate: ¿Es segura la URL?
- Comprueba si la página web utiliza HTTPS: busca siempre el icono del candado en la barra de direcciones de tu navegador. Esto indica que la conexión está cifrada (mediante HTTPS), lo que dificulta que otras personas puedan robar tu información mientras la introduces.
- Si la página parece una pantalla de inicio de sesión pero no utiliza HTTPS: No envíes ninguna información confidencial a través de una página que no utilice HTTPS.
Conclusión principal
Los códigos QR no son más que enlaces en formato de imagen. Trátalos con la misma precaución que tendrías con un correo electrónico de un remitente desconocido. Si no esperabas recibir ese código, o si el resultado al escanearlo te parece extraño, simplemente pulsa «Atrás» o cierra la pestaña del navegador.
Si sigues estos sencillos pasos, podrás disfrutar de la comodidad de los códigos QR sin caer en las estafas de «quishing». ¡Mantente a salvo y disfruta escaneando!

