Seguridad de los códigos QR: amenazas y buenas prácticas en 2025

Un vector subestimado

Autoridades como el FBI (IC3) han alertado sobre códigos maliciosos que redirigen a sitios falsos o malware. El quishing (phishing vía QR en correo o carteles) ha crecido fuerte: el código en imagen a veces evita filtros de enlaces clásicos.

Ataques frecuentes

QRishing: sitio clone de banco o nube para robar credenciales. Sustitución física: pegatina sobre un QR legítimo (parkings, menús, carteles). Correo: «Renueva tu MFA escaneando» — señal de alarma.

Por qué funciona

La URL no se ve hasta escanear; tras la pandemia mucha gente escanea por hábito; en móvil la barra de direcciones es pequeña y fácil de ignorar.

Consejos para usuarios

1. Revisa la URL prevista antes de abrir (iOS/Android suelen previsualizar).
2. Desconfía de QR en correos no solicitados para login o pagos.
3. En la calle, mira si hay capas o relieve sospechoso sobre el código.
4. Mantén el MFA activado en cuentas sensibles.

Consejos para empresas

1. Usa dominios propios reconocibles, no solo acortadores opacos.
2. Imprime o grava el QR directamente en el soporte; revisa que no lo tapen.
3. Forma al equipo sobre quishing en campañas de concienciación.
4. Destino siempre con HTTPS.

Los códigos QR siguen siendo muy útiles; la clave es combinar hábitos de verificación con despliegue físico y digital serio.