Estafas con QR (“quishing”): lo que debes saber antes de escanear

SANTO DOMINGO, R.D. — Escanear un código QR para ver un menú, pagar un servicio o entrar a una promoción ya es algo normal. El problema es que esa misma comodidad se está usando para engañar a usuarios con una modalidad conocida como “quishing” (phishing mediante QR): códigos falsos que te llevan a páginas fraudulentas para robar datos, capturar contraseñas o hacerte autorizar pagos.

En la práctica, el QR no es “mágico”: casi siempre abre un enlace. Y si el enlace es malicioso, el riesgo es el mismo que con cualquier phishing tradicional.

¿Cómo funciona la estafa del QR?

Los casos más comunes suelen seguir este patrón:

1. Te presentan un QR “legítimo” (en un afiche, un poste, una mesa, un parqueo, un mensaje, o incluso pegado encima de otro QR real).
2. Lo escaneas y tu móvil abre una web que imita una marca conocida (banco, delivery, servicios, tienda, soporte técnico, etc.).
3. Te piden “verificar” algo: iniciar sesión, actualizar datos, poner un código, autorizar un pago o descargar una app.
4. Si caes, pueden robar tu cuenta, capturar tus credenciales o redirigirte a una pasarela de pago falsa.

Señales de alerta (si ves esto, desconfía)

• El QR está pegado como sticker encima de otro o luce “reemplazado”.
• Al escanear, el enlace parece raro: dominios largos, letras cambiadas, o terminaciones extrañas.
• La página te mete prisa: “último intento”, “tu cuenta será bloqueada”, “verifica ahora”.
• Te piden datos que no tienen sentido para un QR: contraseña, códigos de verificación, datos bancarios completos.
• Te lleva a descargar una app fuera de las tiendas oficiales.

Checklist rápido antes de escanear (30 segundos)

• Mira el enlace antes de abrirlo (la mayoría de cámaras/lectores lo muestran).
• Si es pago o trámite: mejor entra tú manualmente a la web oficial o usa la app oficial.
• Si el QR está en la calle: verifica que no esté encima de otro.
• No inicies sesión desde una página abierta por QR si no estás 100% seguro.
• Activa medidas de seguridad:
  • Verificación en dos pasos en WhatsApp.
  • Bloqueo del teléfono (PIN/biometría).
  • Actualizaciones al día.

¿Y qué tiene que ver WhatsApp con esto?

Muchísimas estafas usan WhatsApp como “enganche”: te mandan un QR “para confirmar identidad”, “para ver un supuesto documento”, “para reclamar un premio” o “para entrar a un grupo”. En realidad, buscan que abras un enlace o que entregues códigos.

WhatsApp y otras plataformas recomiendan no compartir códigos de verificación, activar verificación en dos pasos y desconfiar de mensajes inesperados con enlaces o urgencia.

¿Qué hacer si ya escaneaste un QR sospechoso?

1. Cierra la página y no descargues nada.
2. Si ingresaste contraseña: cámbiala de inmediato (y en cualquier sitio donde uses la misma).
3. Activa o refuerza el 2FA (doble verificación).
4. Si diste datos bancarios: contacta tu banco y monitorea movimientos.
5. Revisa tu móvil por apps raras y permisos extraños.

En resumen

El QR no es malo, pero es un atajo directo a un enlace. Trátalo como tratarías un link recibido por mensaje: revisa, desconfía si hay urgencia y usa canales oficiales cuando sea pago, cuenta o verificación.