Expertos advierten que la masificación del código QR —hoy usado para pagar, acceder a menús o validar entradas— ha abierto un flanco inesperado para el phishing, el robo de credenciales y la instalación de malware en teléfonos.
Durante la pandemia, el código QR pasó de ser un recurso ocasional a convertirse en un elemento cotidiano. Hoy lo utilizamos para absolutamente todo: leer la carta del restaurante, pagar una cuenta, descargar una aplicación, verificar entradas o incluso hacer trámites. Esa comodidad, sin embargo, ha traído consigo un riesgo que pocos estaban mirando: su explotación por parte del cibercrimen.
En conversación con El Futuro es Hoy, la investigadora de seguridad informática Martina López, de ESET Latinoamérica, explicó por qué los códigos QR se han convertido en una superficie de ataque ideal y cómo están operando los delincuentes digitales para engañar a usuarios de todas las edades.
La trampa detrás de un simple cuadrado blanco y negro
El principal problema del código QR es que, a diferencia de un enlace escrito, no permite ver de inmediato adónde estamos entrando. Cuando uno escribe una dirección web, es posible detectar señales de alerta —dominios alterados, letras cambiadas, símbolos sospechosos—, pero al escanear un QR solemos aceptar sin pensar.
Detrás de ese aparente “acceso rápido” puede esconderse una página falsa que imita a un banco, una empresa de envíos, una red social o cualquier plataforma conocida. Desde ahí, el usuario puede ser inducido a entregar credenciales, contraseñas, números de tarjeta o códigos de verificación. En otros casos, la página puede solicitar descargar un archivo, que en realidad instala malware capaz de espiar mensajes, robar datos o bloquear el teléfono por completo.
López explica que el engaño suele comenzar incluso antes del escaneo: muchos atacantes pegan un código QR falso encima de uno real, en la calle, en afiches, en paraderos, o incluso en locales comerciales. Desde afuera, nada parece sospechoso. La víctima confía en la marca visible del cartel y escanea sin revisar el enlace que aparece en la pantalla.
Adolescentes y adultos mayores: los grupos más vulnerables
Los menores de edad son especialmente susceptibles a estas tácticas. Basta con ofrecerles puntos de un videojuego, un torneo online o algún incentivo digital para que escaneen sin cuestionar. Una vez dentro, pueden entregar credenciales de juegos, redes sociales o descargar aplicaciones que infecten el dispositivo familiar. En algunos casos, incluso es posible que el malware grabe actividad del teléfono o acceda a conversaciones privadas.
Los adultos mayores representan el otro grupo crítico. Muchos de ellos confían demasiado en correos, mensajes y avisos que aseguran provenir de bancos o instituciones. Un QR enviado por WhatsApp, presentado como un “urgente bloqueo de cuenta”, puede llevarlos a entregar sus claves completas. Para personas sin experiencia digital, la suplantación suele ser casi indetectable.
Estas situaciones evidencian la importancia de conversar sobre ciberseguridad en el hogar, tanto con hijos como con padres y abuelos. La educación digital ya no es opcional.
Los códigos QR y el hogar hiperconectado
La conversación también derivó en otro riesgo creciente: la seguridad de los dispositivos IoT del hogar, como cámaras de vigilancia, relojes inteligentes o monitores de bebés. Muchos de estos equipos vienen con contraseñas predefinidas que jamás se cambian, lo que los vuelve extremadamente fáciles de vulnerar.
López advierte que el primer paso para proteger estas tecnologías es tan básico como imprescindible: cambiar siempre la contraseña de administrador y evitar claves repetidas o simples. La mayoría de las intrusiones ocurren justamente porque los dispositivos quedan configurados tal como vienen de fábrica.
Usar códigos QR sin miedo, pero con criterio
El código QR no es el problema; la falta de hábitos digitales sí lo es. Utilizar esta tecnología es seguro siempre que se tomen precauciones mínimas: revisar el enlace antes de abrirlo, asegurarse de que provenga de una fuente confiable, desconfiar de premios demasiado tentadores y contar con un sistema de seguridad actualizado en el celular, tal como se hace en un computador.
En un mundo donde lo “rápido” es sinónimo de conveniencia, los delincuentes se aprovechan de nuestra prisa para que desistamos de revisar. La mejor defensa, insiste la especialista, sigue siendo la duda: detenerse un segundo, mirar el enlace, pensar si tiene sentido. Ese pequeño gesto puede ser la diferencia entre un simple escaneo y una estafa digital.
