Obed Nares
Editor JrMe apasionan las palabras, la creatividad, el entretenimiento, la tecnología y la innovación. Soy mexicano, periodista, escritor, artista y disque filósofo.
La escena es cada vez más común: llega a tu casa un paquete que no pediste, sin relación aparente contigo. Dentro o pegado en el empaque, hay un código QR con instrucciones para reclamar el contenido o conocer detalles del envío. Parece inofensivo, incluso útil. Pero no lo es. La Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México ya lanzó una alerta formal sobre esta modalidad, detectada por su Policía Cibernética, que combina ingeniería social con códigos QR maliciosos para robar información personal y financiera.
De acuerdo con un comunicado oficial, el fraude inicia con el envío de paquetes no solicitados. No hay compra previa ni aviso legítimo y el objetivo es despertar curiosidad o generar urgencia. El gancho es el código QR. Según el comunicado, este incluye instrucciones para escanearlo y así conocer el contenido del paquete, su estado o incluso “reclamarlo”. Todo parece diseñado para que la víctima actúe rápido y sin cuestionar.
Pero al escanearlo ocurre lo importante, el usuario es redirigido a un sitio fraudulento que simula ser una página oficial o confiable. Ahí se solicitan datos personales, bancarios o credenciales de acceso. En otros casos, incluso se descarga malware sin que el usuario lo note. Las consecuencias pueden ir desde cargos no autorizados hasta robo de identidad o acceso completo a cuentas digitales.
Quishing: el phishing que ahora se esconde en códigos QR
Este tipo de ataque tiene nombre: quishing, una variante del phishing tradicional que sustituye los enlaces por códigos QR. De acuerdo con Check Point, el mecanismo es prácticamente el mismo, engañar al usuario para que acceda a un sitio malicioso. La diferencia está en el formato. En lugar de un enlace visible, el código QR oculta la URL, lo que dificulta su detección y bloqueo.
Y ese detalle lo cambia todo. Mientras que en un correo sospechoso puedes revisar el link antes de hacer clic, con un QR esa verificación desaparece. El destino solo se revela después del escaneo. McAfee lo explica de forma más directa, los códigos QR se han vuelto parte de la vida cotidiana con menús, pagos, accesos y los usuarios han aprendido a confiar en ellos. Los estafadores simplemente están aprovechando ese hábito.
Por qué esta estafa es más peligrosa de lo que parece
El quishing no solo replica las técnicas del phishing: también las amplifica. Según Hoxhunt, estos ataques son especialmente efectivos porque combinan el mundo físico y digital. Un código QR puede aparecer en un paquete, un cartel o una puerta, lo que le da una apariencia más legítima que un correo electrónico.
Además, el escaneo suele hacerse desde dispositivos móviles, fuera de los sistemas de seguridad corporativos o filtros tradicionales. Eso complica su detección y aumenta el riesgo. A esto se suma otro factor clave: la urgencia. Muchos de estos fraudes presionan al usuario para actuar rápido, reclamar un paquete, evitar un cargo, verificar una cuenta y reduce el tiempo para pensar.
Qué recomiendan las autoridades
Ante este panorama, la Policía Cibernética de la SSC ha emitido una serie de recomendaciones claras:
- No escanear códigos QR de paquetes o mensajes no solicitados
- No ingresar datos personales o financieros en sitios abiertos desde códigos sospechosos
- Verificar directamente con la empresa de mensajería cualquier envío
- Revisar cuidadosamente la URL antes de proporcionar información
- Mantener actualizado el sistema operativo y el antivirus
- Documentar cualquier intento sospechoso y reportarlo de inmediato.
También se recomienda desconfiar de cualquier sitio que solicite información sensible o pagos urgentes sin garantías claras. El punto más inquietante es que esta estafa no explota fallas técnicas, sino hábitos. Como señala McAfee, el éxito del quishing no radica en que las personas sean descuidadas, sino en que confían en herramientas que usan todos los días. Y justo ahí está el problema, los códigos QR dejaron de ser una novedad para convertirse en una rutina. Ahora, también son una puerta de entrada para el fraude.
Ver 0 comentarios