Saltar al contenido
🔍 Guía práctica

Cómo detectar un código QR falso antes de escanearlo

La verdad incómoda primero: un QR falso y uno legítimo son idénticos como imagen. No hay ningún detalle visual del cuadrado de píxeles que te diga si es de fiar. Pero el ataque deja pistas en el entorno y en el destino. Aquí tienes las señales que sí ayudan —y, si eres tú quien emite códigos, la forma de hacer que tu marca sea comprobable.

Señales reales, sin mitos Basado en avisos de INCIBE Para ciudadanos y para marcas
Señales de alerta

Siete cosas que debes mirar antes de escanear

1. Una pegatina puesta encima

La señal número uno. INCIBE ha documentado que el fraude más común con QR en España es una pegatina falsa superpuesta a un código legítimo. Si notas una etiqueta pegada por encima de otra, no la escanees.

2. El dominio no cuadra

Al abrir el enlace, mira el dominio antes de hacer nada más. Si esperas al ayuntamiento o a tu banco y el dominio es extraño, acortado o con faltas, ciérralo.

3. Te piden pagar con urgencia

«Paga ahora o se aplica un recargo.» La prisa es la herramienta clásica del fraude: te empuja a no comprobar el dominio ni el método de pago habitual.

4. Te piden datos de más

Un menú o un horario no necesitan tu tarjeta ni tu DNI. Si un QR de contexto inocente salta directo a un formulario de datos sensibles, desconfía.

5. El cartel o la factura desentonan

Logotipos estirados, tipografías que no encajan, un QR impreso en un papel distinto del resto. La falsificación suele tener pequeñas grietas.

6. Redirecciones extrañas

Si al escanear pasas por varias redirecciones antes de llegar a ningún sitio, es un patrón habitual para despistar. Un verificador te muestra la cadena completa.

7. No se puede comprobar quién lo ha emitido

Los códigos de una marca cuidadosa se pueden verificar. Si no hay ninguna forma de confirmar el origen, trátalo con la misma prudencia que un enlace de un desconocido.

Honestidad

Por qué esta lista no basta

Merece la pena ser francos: la investigación sobre comportamiento de usuarios es consistente al decir que la mayoría de la gente no comprueba nada antes de escanear, y que las advertencias del navegador se ignoran muy a menudo. Una lista de buenas prácticas ayuda, pero no soluciona el problema de fondo, porque depende de que cada persona se detenga a mirar en el peor momento.

Por eso el peso real de la defensa no recae en el ciudadano que escanea, sino en la organización que emite los códigos. Si tus QR se pueden verificar, das una respuesta objetiva cuando hay un incidente: un periodista, un técnico municipal o un cliente preocupado sí lo comprobarán, y tú puedes decir «nuestro código se puede verificar; ese no».

Si emites QR

Haz que tu marca sea comprobable

No puedes impedir que alguien imprima un QR falso. Sí puedes hacer que su imitación se delate.

Dominio propio

Que todos tus códigos salgan de tu dominio. El usuario ve tu marca en la dirección, no un acortador anónimo.

Firma de emisor

Cada código lleva una firma que solo tu clave puede generar. Una copia sin firma válida no pasa la comprobación.

Verificador público

Con el verificador de Qmarque, cualquiera comprueba en su navegador si un código lo has emitido tú, sin app ni cuenta.

Cómo verificar un QR firmado → Qué es un QR firmado

Preguntas frecuentes

Dudas habituales

¿Cómo sé si un código QR es falso?

No siempre se puede saber a simple vista: un QR falso y uno legítimo son idénticos como imagen. Las señales más fiables son el entorno (una pegatina puesta sobre otro código, un cartel manipulado) y el dominio de destino: si al abrir el enlace el dominio no coincide con la organización que esperas, detente.

¿Una pegatina puesta sobre un QR es sospechosa?

Sí. INCIBE ha documentado que el vector más común de fraude con QR en España son precisamente pegatinas falsas colocadas sobre códigos legítimos de parquímetros, terrazas y cargadores. Si notas una pegatina superpuesta, no la escanees y avisa al responsable del lugar.

¿Los navegadores avisan de los QR fraudulentos?

A veces, pero no se puede confiar en ello: muchos usuarios ignoran las advertencias del navegador y las webs de phishing recientes aún no están en las listas de bloqueo. Comprobar el dominio a mano sigue siendo tu mejor herramienta.

Si emito QR, ¿cómo evito que me suplanten?

Publica tus códigos bajo tu propio dominio y fírmalos, de modo que cualquiera pueda comprobar con un verificador público que el código lo has emitido tú. No impide que alguien imprima un QR falso, pero sí que su imitación se delate al verificarla.

Sigue leyendo

Clúster de seguridad QR

Más sobre el quishing y cómo responder.

Da a tus clientes una forma de comprobarlo

Con Qmarque, cada código puede ir firmado y bajo tu dominio. Cuando salga el próximo caso de QR falso en las noticias, tú podrás decir: «los nuestros se pueden verificar».