El fraude con códigos QR ya no es solo un engaño de “links raros”: ahora aprovecha una costumbre instalada. En restaurantes, comercios, estacionamientos, transporte, promociones y pagos digitales, el usuario escanea primero y duda después. Ahí está la vulnerabilidad.
La modalidad, conocida como quishing, funciona cuando un código QR falso sustituye a uno real, dirige a una página fraudulenta, instala archivos maliciosos o induce pagos a cuentas distintas. Puede aparecer como una etiqueta pegada sobre el código original de un comercio, como un enlace enviado por mensaje, como una promoción falsa o como una supuesta página de pago que copia la imagen de bancos, plataformas o servicios públicos.
El riesgo crece porque México está acelerando su transición hacia pagos electrónicos. Banco de México impulsa CoDi para cobros digitales inmediatos mediante transferencias y códigos QR, mientras DiMo busca facilitar envíos de dinero desde el celular sin depender de la CLABE. A eso se suma el crecimiento de SPEI, la banca móvil, las billeteras digitales, las terminales portátiles, las fintech y los pagos sin efectivo en pequeños negocios.
El problema no está solo en la tecnología, sino en el punto donde la confianza sustituye a la verificación. El QR oculta la dirección real. El usuario no ve con claridad a dónde será enviado, qué página está abriendo o si la cuenta destino corresponde al negocio donde está pagando. Esa opacidad permite que el fraude parezca una operación cotidiana.
Los casos más comunes incluyen pegatinas falsas colocadas sobre códigos legítimos en restaurantes, estacionamientos o tiendas; códigos enviados por correo o WhatsApp que llevan a páginas clonadas; promociones que prometen descuentos o premios; supuestas multas, trámites o pagos urgentes; y alteraciones en puntos de venta para redirigir cobros a cuentas ajenas. En todos los casos, el engaño explota la misma lógica: rapidez, confianza y poca revisión.
Firmas de ciberseguridad llevan meses advirtiendo que este tipo de ataques está creciendo porque el QR permite evadir filtros tradicionales. Kaspersky ha documentado picos en campañas de phishing que utilizan códigos QR en lugar de enlaces visibles; ESET ha alertado sobre su uso en correos y espacios físicos; Check Point ha identificado esquemas dirigidos incluso a entornos corporativos; Trend Micro y Sophos coinciden en que el celular, al concentrar banca y autenticaciones, convierte al QR en una puerta directa a información crítica. En México, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros ha advertido sobre manipulación de códigos en comercios y desvío de pagos, mientras autoridades internacionales como el FBI también han emitido alertas por el crecimiento de esta modalidad.
Todo esto ocurre mientras el país intenta ser más digital. La banca comercial, las fintech, Banco de México y distintas instituciones públicas han empujado herramientas para reducir el uso de efectivo, ampliar la inclusión financiera y facilitar pagos de bajo monto. CoDi fue diseñado para que negocios y personas pudieran cobrar sin comisiones mediante transferencias inmediatas; DiMo busca que el número celular funcione como identificador para enviar dinero; SPEI se volvió infraestructura central para transferencias; y cada vez más servicios públicos, comercios y plataformas migran a cobros electrónicos.
Ahí está la contradicción. México necesita pagos más rápidos, baratos y trazables, pero esa misma transición abre nuevos espacios para el fraude cuando la educación digital no avanza al mismo ritmo. La digitalización no falla solo por grandes hackeos; también se rompe en escenas pequeñas: una mesa de restaurante, una etiqueta mal pegada, un cartel en la calle, un supuesto descuento, una pantalla que el usuario acepta sin revisar.
El impacto no se limita a una pérdida económica. Cada fraude erosiona la confianza en los pagos digitales justo cuando el sistema financiero intenta convencer a más personas y comercios de abandonar el efectivo. Si el usuario percibe riesgo en algo tan cotidiano como escanear, la adopción se vuelve más lenta y más frágil.
La prevención sigue siendo básica, pero decisiva: revisar la dirección que abre el código, confirmar el nombre de la cuenta destino antes de pagar, desconfiar de promociones demasiado atractivas, no ingresar datos bancarios desde enlaces desconocidos, verificar que el QR no sea una etiqueta sobrepuesta y pedir al comercio confirmar el cobro. En una economía donde el pago es instantáneo, la revisión también tiene que volverse parte del hábito.