Durante años, los códigos qr Fueron presentados como una solución rápida, práctica y segura para pagar sin efectivo. En la Argentinasu adopción explotó con las billeteras digitaleslos pagos en comercios y la digitalización de servicios públicos y privados. Pero esa misma confianza es hoy el principal aliado de una nueva ola de estafas digitales que preocupa a los especialistas en ciberseguridad.
Según un informe reciente de Kasperskylos ataques de phishing (suplantación de identidad) que utilizan códigos QR crecieron más de cinco veces en apenas tres mesesy ya muestran señales de consolidarse como una de las amenazas más peligrosas de cara al verano del 2026. El problema no es la tecnología en sí, sino lo que puede esconderse detrássegún reconocen los especialistas.
Cómo funcionan las estafas con códigos QR
A diferencia del phishing tradicional, donde el usuario recibe un enlace, sospechoso el llamado qrishing traslada el engaño al mundo físico o visual. El ataque comienza cuando la víctima escanea un código QR que parece ser legítimo, pero que en realidad redirige a plataformas o cuentas controladas por ciberdelincuentes.
En muchos casos, se trata de sitios falsos que imitan bancos, billeteras virtuales o pasarelas de pago legítimas, diseñadas para robar credenciales o desviar transferencias.
“Los atacantes aprovechan la confianza y la inmediata asociados a los pagos con QR para redirigir a las víctimas hacia sitios web falsos que imitan bancos, billeteras digitales o comercios”, explica Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
Una de las maniobras más frecuentes es la sustitución de códigos QR reales por otros maliciosos en comercios, restaurantes, espacios públicos o vendedores ambulantes. El cree estar pagando una compra, pero en realidad el usuario el dinero termina en una cuenta ajena.
En otros casos, el QR lleva a páginas que solicitan usuario, contraseña o códigos de verificación, lo que permite a los delincuentes tomar control de la cuenta, ya sea de correo electrónico o el Home Banking.
También se detectan códigos que inducen a instalar supuestas aplicaciones de verificación o validación del pago. En realidad, se trata de troyanos que permiten espiar el dispositivo, interceptar claves y monitorear transacciones financieras.
Argentina, un terreno fértil para el fraude digital
Los QR ya están metidos en la vida cotidiana.El fenómeno tiene un impacto particular en la Argentina, donde el uso del QR se volvió cotidiano para pagar desde un café hasta un servicio público. Esa normalización amplió la superficie de ataque.
En los últimos años se registraron casos Múltiples resonantes. Entre ellos, falsas multas de tránsito colocadas en autos en distintas provincias; notificaciones apócrifas de corte de gas con códigos QR maliciosos en Salta y La Plata; y carteles en la vía pública, como el caso de “Agustín me fuiste infiel”con mensajes diseñados para despertar la curiosidad y provocar el escaneo.
Incluso se detectaron códigos pegados en la vía pública con mensajes llamativos o provocadores —como supuestas infidelidades— que apelan a la curiosidad del transeúnte. El objetivo es siempre el mismo: lograr que la persona escanee sin verificar.
A esto se suma un crecimiento sostenido del uso de códigos QR en correos electrónicos de phishing, detectados por la telemetría de Kaspersky en la región.
“El uso masivo del QR en pagos, facturación y trámites cotidianos amplió la superficie de ataque en todo el país”, advierte Cuozzo. Y agrega que el crecimiento del ‘qrishing’ en Argentina acompaña una tendencia regional.
El factor humano, el eslabón más débil.
Más allá del volumen de ataques, el principal riesgo está en el comportamiento del usuario. A diferencia de un enlace sospechoso, el QR suele percibirse como inofensivo y automático.
“Los códigos QR trasladan la decisión de seguridad al empleado o al usuario, que muchas veces escanean sin verificar el origen”, explica Cuozzo. Esa acción, realizada desde un celular con menor nivel de protección, puede comprometer credenciales corporativas, abrir accesos no autorizados y derivar en ataques más complejos.
Desde Kaspersky recomiendan desconfiar de cualquier código QR que llegue por correo electrónico o que esté pegado en espacios públicos sin una fuente clara. También aconsejan verificar siempre la URL antes de ingresar datos, evitar instalar aplicaciones sugeridas por códigos desconocidos y reforzar la protección de cuentas con autenticación multifactor.
