Durante años, los códigos QR fueron presentados como una solución rápida, práctica y segura para pagar sin efectivo. En la Argentina, su adopción explotó con las billeteras digitales, los pagos en comercios y la digitalización de servicios públicos y privados. Pero esa misma confianza es hoy el principal aliado de una nueva ola de estafas digitales que preocupa a especialistas en ciberseguridad.
Según un informe reciente de Kaspersky, los ataques de phishing (suplantación de identidad) que utilizan códigos QR crecieron más de cinco veces en apenas tres meses, y ya muestran señales de consolidarse como una de las amenazas más peligrosas de cara al verano del 2026. El problema no es la tecnología en sí, sino lo que puede esconder detrás, según reconocen los especialistas.
A diferencia del phishing tradicional, donde el usuario recibe un enlace sospechoso, el llamado qrishing traslada el engaño al mundo físico o visual. El ataque comienza cuando la víctima escanea un código QR que aparenta ser legítimo, pero que en realidad redirige a plataformas o cuentas controladas por ciberdelincuentes.
En muchos casos, se trata de sitios falsos que imitan bancos, billeteras virtuales o pasarelas de pago legítimas, diseñados para robar credenciales o desviar transferencias.
“Los atacantes aprovechan la confianza y la inmediatez asociadas a los pagos con QR para redirigir a las víctimas hacia sitios web falsos que imitan bancos, billeteras digitales o comercios”, explica Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
Una de las maniobras más frecuentes es la sustitución de códigos QR reales por otros maliciosos en comercios, restaurantes, espacios públicos o vendedores ambulantes. El usuario cree estar pagando una compra, pero en realidad el dinero termina en una cuenta ajena.
En otros casos, el QR lleva a páginas que solicitan usuario, contraseña o códigos de verificación, lo que permite a los delincuentes tomar control de la cuenta, ya sea de email o el Home Banking.
También se detectaron códigos que inducen a instalar supuestas aplicaciones de verificación o validación del pago. En realidad, se trata de troyanos que permiten espiar el dispositivo, interceptar claves y monitorear transacciones financieras.
El fenómeno tiene un impacto particular en la Argentina, donde el uso del QR se volvió cotidiano para pagar desde un café hasta un servicio público. Esa normalización amplió la superficie de ataque.
En los últimos años se registraron múltiples casos resonantes. Entre ellos, falsas multas de tránsito colocadas en autos en distintas provincias; notificaciones apócrifas de corte de gas con códigos QR maliciosos en Salta y La Plata; y carteles en la vía pública, como el caso de “Agustín me fuiste infiel”, con mensajes diseñados para despertar curiosidad y provocar el escaneo.
Incluso aparecieron códigos pegados en la vía pública con mensajes llamativos o provocadores —como supuestas infidelidades— que apelan a la curiosidad del transeúnte. El objetivo es siempre el mismo: lograr que la persona escanee sin verificar.
A esto se suma un crecimiento sostenido del uso de códigos QR en correos electrónicos de phishing, detectado por la telemetría de Kaspersky en la región.
“El uso masivo del QR en pagos, facturación y trámites cotidianos amplió la superficie de ataque en todo el país”, advierte Cuozzo. Y agrega que el crecimiento del ‘qrishing’ en Argentina acompaña una tendencia regional.
Más allá del volumen de ataques, el principal riesgo está en el comportamiento del usuario. A diferencia de un enlace sospechoso, el QR suele percibirse como inofensivo y automático.
“Los códigos QR trasladan la decisión de seguridad al empleado o al usuario, que muchas veces escanea sin verificar el origen”, explica Cuozzo. Esa acción, realizada desde un celular con menor nivel de protección, puede comprometer credenciales corporativas, abrir accesos no autorizados y derivar en ataques más complejos.
Desde Kaspersky recomiendan desconfiar de cualquier código QR que llegue por correo electrónico o que esté pegado en espacios públicos sin una fuente clara. También aconsejan verificar siempre la URL antes de ingresar datos, evitar instalar aplicaciones sugeridas por códigos desconocidos y reforzar la protección de cuentas con autenticación multifactor.
Los QR ya están metidos en la vida cotidiana.
