Cuidado con los códigos QR: el detalle en el que tenés que fijarte antes de escanear en un local

El ataque a través de códigos QR en restaurantes aprovecha los descuidos y la confianza de la víctima. Los delincuentes se sirven de distracciones del personal del establecimiento para pegar pegatinas con códigos fraudulentos sobre los originales de las mesas o cartas físicas. Al escanear los códigos, el cliente no accede al menú del día, sino a una web diseñada meticulosamente para imitar la interfaz del restaurante o una app de pago legítima.

Por qué los QR son el blanco favorito de los estafadores

El problema central es que los códigos QR ocultan la URL de destino hasta que ya está escaneado. Los expertos en ciberseguridad señalan que los códigos QR tienen una característica que los hace especialmente atractivos para los ciberdelincuentes: ocultan la dirección web real hasta que se escanean. Mientras que con un link en un mensaje podés ver hacia dónde apunta antes de tocarlo, con un QR no tenés esa posibilidad visual previa.

La técnica tiene nombre propio: QRishing —combinación de QR y phishing. Un adhesivo encima del QR original basta para redirigir al usuario a una web fraudulenta. Las denuncias por QRishing aumentaron un 300% en 2025 según la Policía Nacional española.

El detalle concreto en el que fijarse

Antes de escanear cualquier QR en un local, mirá si tiene una pegatina o adhesivo encima. Si encontrás un QR pegado sobre otro en una tienda física, es la señal de alerta más clara. Los QR legítimos están impresos directamente en el soporte —mesa, carta, cartel—, no pegados encima con un sticker que podría haberse colocado sin que el local lo sepa.

El segundo control es verificar la URL antes de abrirla. La mayoría de los lectores de QR muestran la dirección de destino un instante antes de abrir el navegador. Mantente muy alerta ante dominios mal escritos para que se parezcan a nombres de marcas legítimas: esa es una táctica común para ocultar una URL falsa. Por ejemplo, "mercadopagoo.com" o "bna-bank.com" no son sitios reales.

Los contextos más riesgosos

Las estafas con QR suelen concentrarse en zonas turísticas de alta rotación donde el personal del restaurante no conoce a los clientes y el control de las mesas es menos riguroso. Pero también se detectaron casos en parquímetros, monopatines eléctricos compartidos y cartelería en espacios públicos.

Cuando el QR pide datos bancarios o contraseñas, pará de inmediato. Un menú digital no necesita que ingreses tu tarjeta. Si la página adonde llegaste tras escanear te pide información sensible sin contexto claro, cerrala y buscá la dirección oficial del local directamente en Google.