En el Mundial 2026 los códigos QR van a estar en todas partes: boletos, menús, accesos, promociones, pantallas de fan fest, propaganda y publicidad. Y detrás de algunos de ellos habrá algo que no esperas, se llama quishing y es el fraude que no puedes ver antes de caer en él.
Llegó un paquete a tu casa, no lo pediste, no reconoces el remitente, pero trae un código QR con la instrucción de escanearlo para reclamar un premio o verificar el envío. Lo haces, la página se ve oficial, ingresas tus datos, así entregas tu información a los ciberdelincuentes.
El código que no puedes leer antes de escanear
En un enlace siempre tienes una oportunidad de dudar, puedes ver la dirección, detectar algo raro, cerrar la pestaña antes de hacer click, a diferencia de un código QR, donde esa posibilidad desaparece.
Escaneas una imagen y no sabes a dónde te lleva hasta que estás ahí. Ese detalle lo cambia todo. El quishing es una variante del phishing, con los códigos QR se engaña al usuario, al ocultar la URL de los sitios fraudulentos, lo que dificulta su detección y bloqueo.
En solo tres meses, de agosto a noviembre de 2025, el volumen de ataques de quishing se multiplicó por cinco a nivel mundial, según datos de la empresa de ciberseguridad Keepnet Labs.
El Mundial es el escenario perfecto
Con motivo del Mundial de fútbol, durante cuatro semanas los códigos QR van a estar en todas partes. menús de restaurantes en las zonas de fan fest, pantallas en los accesos a los estadios, boletos digitales, promociones de marcas patrocinadoras, puntos de pago sin efectivo, volantes y folletos que se reparten en las calles, etc. Cada uno de esos códigos son una posible puerta para los estafadores, basta con que uno sea falso.
Lo que hace especialmente peligroso al quishing durante eventos masivos como la próxima Copa del Mundo, es su capacidad para mezclarse con lo legítimo. Si estás en un lugar rodeado de publicidad y escaneas un código QR que alguien pegó sobre el original, sin saberlo, el fraude empezó. No hiciste nada sospechoso, hiciste lo que haría cualquier persona: escanear.
Un ejemplo son las agencias de viajes fraudulentas que en las calles distribuyen sus volantes donde promocionan “supuestos” paquetes baratos, crean una urgencia artificial con mensajes como “única promoción en este momento”, invitando a escanear el código QR para tener más información, lo que lleva a la víctima a actuar por impulso.
Es así que la Policía Cibernética de la Ciudad de México ha emitido alertas ante el incremento de este ciberdelito en espacios públicos, transporte, postes, carteles donde los delincuentes colocan códigos falsos sobre los originales para redirigir a las víctimas hacia portales que imitan instituciones oficiales.
Cómo opera el fraude
El atacante crea una página falsa que imita con precisión un servicio, puede ser un banco, una plataforma de boletos, un sistema de pago, etc. Después genera el gancho, un código QR que lleva a esa página usando cualquier herramienta gratuita disponible en línea, un proceso que tarda minutos.
Posteriormente, lo distribuye, lo pega sobre un código legítimo en un espacio público, lo imprime en un folleto de promoción o también puede incluirlo en un correo o mensaje electrónico.
Cuando la víctima lo escanea, lo redirige al sitio falso, donde se le pide ingrese su información personal o financiera. El atacante los recibe en tiempo real.
Lo que viene después depende de los datos obtenidos, si es información bancaria, puede ser un cargo no reconocido en la tarjeta, en otros es el robo de la identidad.
En casos más sofisticados, el QR puede dirigir a descargas maliciosas o sitios que buscan instalar software espía si el usuario concede permisos o descarga archivos.
Las señales que nos alertan
Un código QR falso no siempre es identificable, pero hay señales que es importante reconocer antes de escanear cualquier imagen durante el próximo Mundial:
- Si el código parece una calcomanía pegada sobre otro material, especialmente los que se encuentran en las calles: parquímetros, pantallas o carteles: DESCONFÍA.
- Si al escanearlo la página pide datos que no tienen sentido, como número de tarjeta para ver un menú, contraseña para reclamar un premio: CIERRA INMEDIATAMENTE.
- Si el sitio al que te dirigió tiene errores gramaticales, diseño descuidado o una URL que no corresponde a la institución que dice ser: NO INGRESES INFORMACIÓN.
La Policía Cibernética de la Secretaría de Seguridad Ciudadana de la Ciudad de México ha emitido otras recomendaciones como:
- No escanear códigos QR de paquetes o mensajes no solicitados.
- Verificar siempre el sitio al que te destinen y desconfiar de cualquier código que genere urgencia para actuar.
- Revisar directamente con la empresa de mensajería cualquier envío.
- Mantener actualizado el sistema operativo y el antivirus.
- Documentar cualquier intento sospechoso y reportarlo de inmediato.
Pregúntate antes de escanear
El quishing funciona porque los códigos QR se convirtieron en un gancho automático, lo vemos, lo escaneamos. No pensamos en lo que puede haber detrás de él porque no dimensionamos si es peligroso.
Durante el Mundial esa automaticidad es un riesgo, solo basta que un QR sea falso.
Antes de escanear cualquier código, tómate dos segundos y pregúntate: ¿Quién colocó ese código? ¿Tiene sentido que la página a la que se direcciona solicite ciertos datos? ¿El código parece original o fue pegado encima de otro?
Dos segundos, eso es todo lo que separa un escaneo normal de uno que NO DEBISTE HACER.
