Las estafas con códigos QR se consolidaron como una de las amenazas digitales más comunes en restaurantes, cafeterías y negocios de México. Lo que inició como una herramienta práctica para consultar menús o realizar pagos sin contacto, hoy es aprovechado por ciberdelincuentes para robar datos bancarios y vaciar cuentas en cuestión de minutos.

De acuerdo con reportes de la Guardia Nacional y la Sedena, en enero de 2026 se detectó un aumento significativo de denuncias relacionadas con esta modalidad, conocida como QRishing.

Ricardo Darling, vicepresidente de ciberseguridad en C3NTRO Telecom, advirtió en entrevista exclusiva para adn Noticias que el problema radica en la confianza automática del usuario al escanear estos códigos en espacios cotidianos.

¿Cómo surgió y por qué se ha vuelto común esta estafa?

Evolución del phishing tradicional: El QRishing reemplaza correos y mensajes por códigos visibles en mesas, menús y anuncios

El QRishing reemplaza correos y mensajes por códigos visibles en mesas, menús y anuncios Confianza en lo físico: Al estar en un restaurante, el usuario asume que el QR es legítimo

Darling explica que “los atacantes se adaptaron al entorno digital cotidiano; ahora ya no necesitan enviar enlaces, basta con pegar una calcomanía”. El crecimiento se debe al auge de pagos y menús digitales, incluso en bancos y comercios reconocidos.

¿Qué pasa realmente al escanear un código QR falso?

El escaneo no infecta el celular: El riesgo comienza al abrir el enlace

El riesgo comienza al abrir el enlace Dos amenazas principales: páginas falsas que roban datos y descargas automáticas de malware

“El QR es solo un puente”, señala el especialista. “El verdadero peligro es la página a la que llegas y lo que te pide hacer”.

¿Cómo identificar un código QR sospechoso en un restaurante o negocio?

Inspección física: Calcomanías sobrepuestas, bordes irregulares o materiales distintos

Calcomanías sobrepuestas, bordes irregulares o materiales distintos Revisión de la URL: Dominios largos, extraños o sin relación con el negocio

Darling recomienda desconfiar si el enlace solicita información sensible o muestra mensajes de urgencia.

Medidas de protección clave para evitar que “escanear salga caro”

Mentalidad de cero confianza: Pedir menú impreso o QR directo del personal

Pedir menú impreso o QR directo del personal Protección digital activa: Antivirus confiable y actualizado en el celular

Antivirus confiable y actualizado en el celular Regla básica: Ningún QR legítimo solicita contraseñas o datos bancarios

“El usuario informado es la primera línea de defensa”, concluye Darling. “Dudar unos segundos puede evitar pérdidas graves”.

