BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 25 junio 2026

Códigos QR y phishing: por qué el truco de la pegatina en el parquímetro también afecta a tu oficina

Los códigos QR están en todas partes: en menús, parquímetros y facturas. Pero los ciberdelincuentes los suplantan cada vez más con sus propias pegatinas. Aprende a reconocerlo y a proteger a tu equipo.

Hace unos años, un código QR era algo que solo veías en publicidad. Ahora los usas para pagar el aparcamiento, pagar en una terraza, conectarte a una red de invitados o abonar una factura. Muy práctico. Pero precisamente esa comodidad lo convierte en un objetivo atractivo para los estafadores. La técnica se llama quishing (QR + phishing) y afecta a las pymes mucho más de lo que cabría esperar.

¿Qué es exactamente el quishing?

En el quishing, la trampa no está en un enlace de un correo, sino en un código QR. Ese código te redirige a un sitio web falso que parece idéntico al de tu banco, tu servicio de pagos, tu inicio de sesión de Microsoft o tu proveedor. Introduces tus datos y el estafador accede junto contigo.

Lo que lo hace tan difícil de detectar: un código QR es simplemente un bloque de píxeles. A simple vista no puedes saber adónde lleva. Y como lo escaneas con el móvil —a menudo fuera de la oficina, a menudo con prisas— desconectas tu instinto de alerta.

Tres escenarios que hemos visto en los últimos meses

1. La pegatina en el parquímetro

En varias ciudades, estafadores han pegado pegatinas QR falsas sobre los códigos QR reales de los parquímetros. Quien escaneaba llegaba a una página de pago falsa y entregaba sus credenciales bancarias. Para un empresario que visita rápidamente a un cliente: ocurre en un abrir y cerrar de ojos.

2. La factura con el QR de pago «práctico»

Muchos proveedores incluyen hoy en día un QR de pago en sus facturas. Los estafadores han copiado esta práctica: interceptan una factura real, sustituyen el código QR por el suyo propio y la reenvían. El resto de la factura es idéntico —solo el IBAN detrás del QR no lo es.

3. El correo de «restablecer la MFA»

Un correo que parece un mensaje de Microsoft 365: «Su verificación en dos pasos debe configurarse de nuevo, escanee este QR con su teléfono.» El código lleva a una pantalla de inicio de sesión falsa. Como se abre en el móvil (y no en el portátil), no actúan los filtros del correo corporativo y no tienes la barra de URL a la que estás acostumbrado a echarle un vistazo.

Por qué los códigos QR son más peligrosos que el phishing habitual

  • Saltas de un dispositivo a otro. Correo en el portátil → escaneo con el móvil. Abandonas la capa de seguridad de tu oficina.
  • Las URL son difíciles de leer en el móvil. Un enlace largo con microsft-login.xyz en medio es fácil de pasar por alto en una pantalla pequeña.
  • Los escáneres abren directamente. Muchos teléfonos abren el enlace de forma automática, sin mostrar una vista previa.
  • Las pegatinas son físicas. Ningún filtro de spam del mundo puede detener una pegatina pegada en un poste.

Lo que puedes hacer esta semana — sin departamento de IT

Configura tu teléfono para que muestre primero la URL

En la mayoría de iPhones y dispositivos Android puedes configurar la cámara para que, al escanear un QR, muestre primero el enlace antes de abrirlo. Hazlo. Un toque extra, pero verás si pone tikkie.me o tikkie-betalen.support.

Establece una norma única para los pagos

No pagues nunca una factura a través de un código QR sin que alguien haya comprobado el IBAN por separado. Esto es especialmente importante con proveedores nuevos o números de cuenta modificados. ¿Tienes dudas sobre un IBAN? Compruébalo con nuestra verificación de IBAN — obtiene directamente el banco y el país asociados, para que detectes antes una cuenta falsa.

Nada de inicios de sesión por QR

Convierte esto en una norma inamovible: nunca inicies sesión en un servicio corporativo a través de un código QR recibido por correo. Microsoft, tu software de contabilidad y tu banco jamás te lo pedirán así. Accede siempre desde tu marcador propio o escribiendo la URL directamente.

Mira los códigos QR físicos con desconfianza

¿Una pegatina sobre otra pegatina? Desconfía. Mejor pagar unos minutos más de aparcamiento que vaciar tu cuenta. Siempre puedes pagar con tarjeta o con la app.

Forma a tu equipo brevemente

No hace falta dedicarle una hora de reunión. Cinco minutos junto al café: muestra estos tres ejemplos, explica por qué el quishing no es más que phishing disfrazado, y acordad las normas anteriores. Listo.

¿Y si aun así algo sale mal?

¿Alguien de la oficina ha introducido sus credenciales en un sitio falso tras escanear un código QR? Haz esto hoy mismo:

  1. Cambia la contraseña de inmediato, y en todos los sitios donde se usara esa misma contraseña.
  2. Revisa la verificación en dos pasos. ¿Aparece un dispositivo desconocido? Elimínalo.
  3. Comprueba los correos enviados recientemente y las reglas creadas en el buzón — los estafadores suelen configurar reglas de reenvío.
  4. En caso de pago: llama a tu banco e infórmalos del fraude.

¿Quieres poner las bases en orden antes de que ocurra algo? Nuestros servicios de implementación de 2FA y seguridad del correo cierran las brechas más utilizadas por las que se cuela el quishing. Empieza por ahí — una pegatina en un poste no puedes eliminarla, pero un buzón de correo sin protección sí.

Onderwerpen

#mkb #security #phishing #awareness #Mobiel

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Sin equipo de TI, pero con toda la responsabilidad. Este artículo te da una pila de prioridades: empieza por esto, luego esto otro, y después lo menos urgente. Cada apartado enlaza con una guía más detallada.

2 min
Security zonder IT-afdeling

Compartir archivos de forma segura en la pyme: sin que nadie tenga que aprender una nueva aplicación

La mayoría de las brechas de datos en las pymes no las causan hackers, sino un enlace compartido por error o una cuenta de invitado olvidada. Así organizas el intercambio seguro de archivos en una tarde.

5 min
Security zonder IT-afdeling

Mensaje de ausencia: lo que es mejor no incluir en ese aviso

Tu mensaje de ausencia suele revelar más información de la que crees: quién está fuera, durante cuánto tiempo y quién le sustituye. Así lo configuras para que ayude a tus compañeros sin darle pistas a los estafadores.

5 min
Security zonder IT-afdeling

Lista de verificación de verano para pymes: entra en vacaciones sin sustos

El verano es el momento favorito de los estafadores: confían en que la oficina esté semivacía. Con esta lista práctica, tu pyme entra en el período vacacional sin sobresaltos.

6 min
Security zonder IT-afdeling

Laptop o teléfono perdido: ¿qué haces en las primeras dos horas?

¿Has perdido un portátil o el teléfono? Lo que hagas en las primeras dos horas decide si esto se queda en un susto o se convierte en una brecha de datos. Una checklist práctica para pymes sin departamento de IT.

6 min
Security zonder IT-afdeling

La impresora de oficina: el dispositivo que nadie recuerda proteger

Tu multifunción lleva años zumbando en un rincón. Pero ¿sabías que probablemente tiene una interfaz web abierta, envía escaneos a una carpeta sin protección y nunca ha recibido la última actualización de firmware? Hora de hacer una revisión rápida.

5 min
← Alle artikelen in "Security zonder IT-afdeling"