Durante años, los códigos QR fueron presentados como una herramienta práctica, rápida y segura para reemplazar el efectivo. En la Argentina, su adopción se disparó con la expansión de las billeteras virtuales, los pagos en comercios, el transporte, los servicios públicos y hasta los trámites cotidianos.
Sin embargo, esa confianza construida en torno a la tecnología se transformó en el principal aliado de una nueva ola de estafas digitales que preocupa a especialistas en ciberseguridad.
El problema no está en el QR como herramienta, sino en lo que puede ocultarse detrás de un simple escaneo. A diferencia de otros métodos de ataque más evidentes, esta modalidad opera de forma silenciosa, aprovechando la inmediatez y la falta de verificación del usuario.
Qrishing: cuando el engaño salta del mundo digital al físico
Esta nueva modalidad de fraude es conocida como qrishing, una variante del phishing tradicional que utiliza códigos QR como vehículo del engaño. Según un informe reciente de Kaspersky, los ataques de suplantación de identidad que emplean QR crecieron más de cinco veces en apenas tres meses y ya se perfilan como una de las amenazas digitales más peligrosas de cara al verano de 2026.
A diferencia del phishing clásico —donde el usuario recibe un enlace sospechoso por correo o mensaje—, el qrishing traslada el engaño al plano visual o físico. El ataque comienza cuando una persona escanea un código que parece legítimo, pero que en realidad redirige a plataformas controladas por ciberdelincuentes.
En muchos casos, esos destinos son sitios falsos que imitan con precisión a bancos, billeteras digitales o pasarelas de pago reales. El objetivo puede ser doble: robar credenciales de acceso o desviar transferencias hacia cuentas ajenas.
Cómo funciona la estafa detrás del pago con QR
Una de las maniobras más comunes consiste en la sustitución de códigos QR reales por otros maliciosos. Esto ocurre en comercios, restaurantes, ferias, espacios públicos o incluso entre vendedores ambulantes. El usuario cree que está pagando un producto o servicio, pero el dinero termina en manos de un tercero.
«Los atacantes aprovechan la confianza asociada a los pagos con QR para redirigir a las víctimas hacia sitios web falsos que imitan bancos, billeteras digitales o comercios«, explica Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
Otra variante lleva a páginas que solicitan usuario, contraseña o códigos de verificación. Con esa información, los delincuentes pueden tomar control de cuentas bancarias, billeteras virtuales, correos electrónicos o redes sociales, lo que amplía el daño más allá de una sola transacción.
También se detectaron códigos que inducen a descargar supuestas aplicaciones de validación o control del pago. En realidad, se trata de troyanos que permiten espiar el dispositivo, interceptar claves y monitorear operaciones financieras en tiempo real.
Argentina, un terreno fértil para este fraude digital
El impacto de estas estafas es particularmente fuerte en la Argentina, donde el uso del QR se volvió casi universal. Desde pagar un café hasta abonar impuestos o servicios, el escaneo es parte de la rutina diaria, lo que amplía de forma significativa la superficie de ataque.
En los últimos años se registraron casos resonantes en distintas provincias. Hubo falsas multas de tránsito colocadas en parabrisas; notificaciones apócrifas de cortes de gas con códigos maliciosos en ciudades como Salta y La Plata; y carteles en la vía pública con mensajes provocadores diseñados para despertar curiosidad.
Uno de los ejemplos más llamativos fue la aparición de códigos QR acompañados por frases como «Agustín, me fuiste infiel», cuyo único objetivo era lograr que el transeúnte escanee sin pensar. El resultado siempre es el mismo: redireccionar a la víctima hacia un entorno controlado por delincuentes.
A esto se suma un crecimiento sostenido del uso de QR en correos electrónicos fraudulentos, detectado por sistemas de monitoreo en toda la región.
El factor humano, la principal vulnerabilidad
Más allá del volumen de ataques, los especialistas coinciden en que el mayor riesgo sigue siendo el comportamiento del usuario. A diferencia de un enlace sospechoso, el QR suele percibirse como inofensivo, automático y confiable.
«Los códigos QR trasladan la decisión de seguridad al usuario, que muchas veces escanea sin verificar el origen», advierte Cuozzo. Esa acción, realizada desde un celular con menores barreras de protección que una computadora, puede comprometer datos personales, credenciales laborales y accesos bancarios.
Recomendaciones clave para evitar caer en la trampa
Desde el sector de la ciberseguridad recomiendan desconfiar de cualquier código QR recibido por correo electrónico o pegado en espacios públicos sin una fuente clara.
También aconsejan verificar siempre la URL antes de ingresar datos, evitar descargar aplicaciones sugeridas por códigos desconocidos y reforzar la protección de las cuentas con autenticación multifactor.
En un contexto donde el QR se convirtió en una herramienta cotidiana, la prevención y la desconfianza informada aparecen como la única barrera efectiva frente a una estafa que, con un solo escaneo, puede vaciar una cuenta en segundos.