Salta al contingut
🔍 Guia pràctica

Com detectar un codi QR fals abans d'escanejar-lo

La veritat incòmoda primer: un QR fals i un de legítim són idèntics com a imatge. No hi ha cap detall visual del quadrat de píxels que et digui si és de fiar. Però l'atac deixa pistes a l'entorn i a la destinació. Aquí tens els senyals que sí que ajuden —i, si ets tu qui emet codis, la manera de fer que la teva marca sigui comprovable.

Senyals reals, sense mites Basat en avisos d'INCIBE Per a ciutadans i per a marques
Senyals d'alerta

Set coses que has de mirar abans d'escanejar

1. Un adhesiu enganxat a sobre

El senyal número u. INCIBE ha documentat que el frau més comú amb QR a Espanya és un adhesiu fals sobreposat a un codi legítim. Si notes una etiqueta enganxada per damunt d'una altra, no l'escanegis.

2. El domini no quadra

En obrir l'enllaç, mira el domini abans de fer res més. Si esperes l'ajuntament o el teu banc i el domini és estrany, escurçat o amb faltes, tanca-ho.

3. Et demanen pagar amb urgència

«Paga ara o t'apliquem un recàrrec.» La pressa és l'eina clàssica del frau: t'empeny a no comprovar el domini ni el mètode de pagament habitual.

4. Et demanen dades de més

Un menú o un horari no necessiten la teva targeta ni el teu DNI. Si un QR de context innocent salta directament a un formulari de dades sensibles, desconfia.

5. El cartell o la factura desentonen

Logotips estirats, tipografies que no encaixen, un QR imprès en un paper diferent de la resta. La falsificació sol tenir petites escletxes.

6. Redireccions estranyes

Si en escanejar passes per diverses redireccions abans d'arribar enlloc, és un patró habitual per despistar. Un verificador et mostra la cadena completa.

7. No es pot comprovar qui l'ha emès

Els codis d'una marca cuidadosa es poden verificar. Si no hi ha cap manera de confirmar l'origen, tracta'l amb la mateixa prudència que un enllaç d'un desconegut.

Honestedat

Per què aquesta llista no n'hi ha prou

Val la pena ser francs: la recerca sobre comportament d'usuaris és consistent a dir que la majoria de gent no comprova res abans d'escanejar, i que les advertències del navegador s'ignoren molt sovint. Una llista de bones pràctiques ajuda, però no soluciona el problema de fons, perquè depèn que cada persona s'aturi a mirar en el pitjor moment.

Per això el pes real de la defensa no recau en el ciutadà que escaneja, sinó en l'organització que emet els codis. Si els teus QR es poden verificar, dones una resposta objectiva quan hi ha un incident: un periodista, un tècnic municipal o un client amoïnat sí que ho comprovaran, i tu pots dir «el nostre codi es pot verificar; aquell no».

Si emets QR

Fes que la teva marca sigui comprovable

No pots impedir que algú imprimeixi un QR fals. Sí que pots fer que la seva imitació es delati.

Domini propi

Que tots els teus codis surtin del teu domini. L'usuari veu la teva marca a l'adreça, no un escurçador anònim.

Firma d'emissor

Cada codi porta una firma que només la teva clau pot generar. Una còpia sense firma vàlida no passa la comprovació.

Verificador públic

Amb el verificador de Qmarque, qualsevol comprova al seu navegador si un codi l'has emès tu, sense app ni compte.

Com verificar un QR firmat → Què és un QR firmat

Preguntes freqüents

Dubtes habituals

Com sé si un codi QR és fals?

No sempre es pot saber a simple vista: un QR fals i un de legítim són idèntics com a imatge. Els senyals més fiables són l'entorn (un adhesiu enganxat sobre un altre codi, un cartell manipulat) i el domini de destinació: si en obrir l'enllaç el domini no coincideix amb l'organització que esperes, atura't.

Un adhesiu enganxat sobre un QR és sospitós?

Sí. INCIBE ha documentat que el vector més comú de frau amb QR a Espanya són precisament adhesius falsos enganxats sobre codis legítims de parquímetres, terrasses i carregadors. Si notes un adhesiu sobreposat, no l'escanegis i avisa el responsable del lloc.

Els navegadors avisen dels QR fraudulents?

De vegades, però no s'hi pot confiar: molts usuaris ignoren les advertències del navegador i les webs de phishing recents encara no estan a les llistes de bloqueig. Comprovar el domini a mà segueix sent la teva millor eina.

Si emeto QR, com evito que em suplantin?

Publica els teus codis sota el teu propi domini i firma'ls, de manera que qualsevol pugui comprovar amb un verificador públic que el codi l'has emès tu. No impedeix que algú imprimeixi un QR fals, però sí que la seva imitació es delati en verificar-la.

Continua llegint

Cluster de seguretat QR

Més sobre el quishing i com respondre-hi.

Dona als teus clients una manera de comprovar-ho

Amb Qmarque, cada codi pot anar firmat i sota el teu domini. Quan surti el pròxim cas de QR fals a les notícies, tu podràs dir: «els nostres es poden verificar».