¿Son seguras las apps de QR y los códigos que escaneas?
Sí, los códigos QR son seguros de escanear siempre que uses un escáner de código QR que te muestre el enlace antes de abrirlo y desconfíes de los códigos pegados en la calle. El cuadradito en sí no contiene virus: solo guarda datos. El peligro real no es el QR, sino la página a la que te lleva. Si tu lector de código QR te enseña la URL antes de abrir nada, has eliminado casi todo el riesgo de un vistazo.
Vamos a verlo en detalle, porque en España el fraude por QR (el llamado qrishing) ya tiene avisos oficiales del INCIBE y del Banco de España, y conviene saber distinguir un código fiable de una trampa.
¿Qué es exactamente un código QR y por qué importa?
Un código QR es un código de barras bidimensional que almacena información en un patrón de cuadros blancos y negros. Cuando lo escaneas con la cámara o con una app de escáner QR, tu móvil lo descodifica y obtiene unos datos: lo habitual es una URL, pero también puede ser texto, una contraseña de WiFi o una tarjeta de contacto.
El código no ejecuta nada por sí solo. Es un mensajero. El problema empieza cuando ese mensajero te lleva a una web fraudulenta y tú la abres sin mirar. Por eso la pieza clave de seguridad no es evitar los QR, sino ver el destino antes de pulsar.
El qrishing: el fraude por QR que vigila el INCIBE
El INCIBE (Instituto Nacional de Ciberseguridad) y su servicio para ciudadanos, la OSI, llevan tiempo alertando del qrishing: el phishing a través de códigos QR. El esquema es sencillo y muy efectivo:
- El estafador imprime una pegatina con un QR falso y la coloca encima de uno legítimo: un parquímetro, la carta de un restaurante, un cartel de una multa o un terminal de pago.
- Tú escaneas pensando que es el original y acabas en una pasarela de pago clonada o en una página que imita a tu banco.
- Introduces tus datos creyendo que pagas el parking o consultas el menú, y se los entregas directamente al atacante.
El qrishing ha crecido por dos motivos. El primero, que con solo mirar un QR no puedes leer adónde apunta. El segundo, que cuando llega por correo (un QR dentro de una imagen) esquiva muchos filtros antispam, que sí bloquearían un enlace de texto sospechoso. Por eso los bancos españoles insisten: ninguna entidad seria te pide escanear un QR de un correo para “verificar tu cuenta”.
Cómo escanear de forma segura
Con unos pocos hábitos cubres la inmensa mayoría de situaciones.
1. Previsualiza siempre la URL antes de abrirla
Es el paso más importante. Un buen escáner QR no abre el enlace de golpe: te muestra primero el contenido descodificado y deja que tú decidas. Esa es la idea central de QR Toolkit: al escanear un código, la app descodifica el QR en el propio dispositivo y te enseña el enlace completo en pantalla. Tú eliges si lo abres, lo copias o lo descartas. Nada se abre sin tu visto bueno, justo lo contrario de lo que busca el qrishing.
2. Lee el dominio con lupa
Cuando veas la URL, fíjate en el dominio. ¿Coincide con la marca que esperas? Vigila los cambios sutiles: “bbva-seguro.com”, “correos-envio.net” o un “arnazon.com” en vez de “amazon.com”. Los atacantes registran dominios casi idénticos. Si algo te chirría, no entres.
3. Usa un lector dedicado, no solo la cámara
La cámara de serie del iPhone o de Android suele abrir el enlace casi de inmediato, con poco margen para inspeccionarlo. Una app de escáner QR dedicada te da más control: vista previa del contenido, historial para revisar lo que escaneaste y, en el caso de QR Toolkit, sin anuncios y sin SDK de rastreo ni identificador publicitario.
4. Desconfía de los códigos en la calle
Trata los QR de espacios públicos con cautela. La señalización oficial de un comercio conocido suele ser fiable; las pegatinas sueltas en farolas, los carteles manipulados o cualquier código que parezca pegado encima de otro merecen sospecha. Ante la duda, busca la web oficial tú mismo.
5. Mantén el móvil actualizado
iOS y Android incorporan protección frente a webs de phishing y descargas maliciosas conocidas. Tener el sistema y el navegador al día te garantiza los últimos parches.
Privacidad: ¿la app me rastrea cada escaneo?
Aparte del fraude, hay otra cara de la seguridad que en España preocupa cada vez más por el RGPD y la vigilancia de la AEPD: qué hace tu app con lo que escaneas. Muchos lectores gratuitos viven de la publicidad y envían tus escaneos a servidores de terceros para perfilarte.
Conviene elegir una app respetuosa con tus datos. QR Toolkit descodifica los códigos en el dispositivo, no incluye anuncios ni trackers y no usa identificador publicitario. Tu historial de escaneos se guarda en tu propia cuenta, protegido con seguridad a nivel de fila (row-level security): solo tú puedes consultarlo. Para una herramienta de uso diario, esa diferencia importa tanto como evitar un enlace malicioso.
Si tu negocio usa QR, protege también a tus clientes
- Usa siempre HTTPS en las URL que haya detrás de tus códigos.
- Apunta a un dominio propio, no a un acortador gratuito que pueda caer o ser comprometido.
- Revisa tus códigos físicos cada cierto tiempo por si alguien ha pegado una pegatina encima.
- Forma a tu equipo: no escanear QR de origen desconocido en dispositivos de trabajo.
Preguntas frecuentes
¿Un código QR puede instalar un virus en mi móvil?
Por sí solo, no. El QR solo transporta datos. El riesgo aparece si te lleva a una web maliciosa o a la descarga de un archivo y tú lo aceptas. Los móviles modernos piden confirmación antes de instalar nada, así que el mejor escudo es revisar el enlace antes de abrirlo.
¿Cómo sé si un código QR es seguro antes de abrirlo?
Usa un lector de código QR que muestre la URL descodificada en pantalla sin abrirla automáticamente. Comprueba que el dominio coincide con la marca esperada y desconfía de los códigos pegados sobre otros en lugares públicos, el método típico del qrishing que alerta el INCIBE.
¿Es seguro escanear con la cámara del iPhone o de Android?
Es razonablemente seguro, porque ambos sistemas te muestran una notificación con el enlace antes de abrirlo y bloquean webs maliciosas conocidas. Aun así, una app de escáner QR dedicada te da una vista previa más clara, historial y control total sobre qué se abre y cuándo.