QRishing: así es la nueva ciberestafa por QR que simulan multas en CDMX

El QRishing, una modalidad de fraude digital que utiliza códigos QR maliciosos, se convirtió en una de las amenazas cibernéticas de mayor crecimiento y menor detección en 2025 y se prevé que aumente para 2026.

De acuerdo con especialistas en ciberseguridad y el Gabinete de Seguridad, a diferencia del phishing tradicional, este método no llega por correo electrónico, sino que por medio de un ticket con impresiones de sellos del Gobierno de México y un código QR, se simula una multa vehicular que se deja en el parabrisas de los autos estacionados.

QRishing, una infiltración rápida y sutil

El QRishing es una forma de phishing que explota la confianza que generan los códigos QR. Al escanearlos con un teléfono celular, la víctima puede ser redirigida a sitios web falsos que imitan portales oficiales, descargar malware o entregar credenciales bancarias y corporativas sin saberlo.

Las autoridades tienen registro de que los delincuentes colocan estos códigos en:

• Carteles
• Folletos
• Credenciales de eventos
• Oficinas
• Restaurantes
• Señaléticas legítimas, sustituyendo el QR original por uno fraudulento

QRishing e Inteligencia Artificial, una técnica de ingeniería social

De acuerdo con análisis recientes de la Policía Cibernética, los atacantes ya comienzan a combinar el QRishing con Inteligencia Artificial y técnicas de ingeniería social para aumentar su efectividad.

Entre las prácticas más comunes se encuentran:

• QR pegados sobre códigos legítimos en oficinas, ferias, edificios públicos o comercios
• URLs acortadas u ocultas, que impiden verificar visualmente el destino real
• Redirecciones invisibles, que primero muestran una página aparentemente segura y luego llevan a un sitio malicioso
• Formularios falsos que simulan accesos a WI-FI, reservas de salas o portales internos
• Uso de dispositivos personales, lo que evade controles de seguridad corporativos
• Recientemente, QR impresos en supuestas multas que redireccionan a una página falsa del Gobierno de México

En varios casos documentados, empleados y visitantes han sido víctimas tras escanear códigos en kits de bienvenida, reservas internas o empaques de productos tecnológicos.

Sectores más vulnerables

Informes de ciber inteligencia señalan que los ataques de QRishing y phishing asistido por Inteligencia Artificial afectan principalmente a sectores estratégicos:

• Banca y seguros
• Salud
• Energía e infraestructuras críticas
• Administración pública

En estos entornos, la confianza en procesos internos y la urgencia operativa facilitan el engaño.

Recomendaciones de las autoridades

Ante el aumento de estos ataques, organismos de ciberseguridad y autoridades recomiendan:

• Desconfiar de códigos QR colocados en espacios públicos o sin contexto claro
• Verificar la URL antes de ingresar datos tras escanear un QR
• Evitar escanear códigos que soliciten usarlos, contraseñas o datos bancarios
• No descargar aplicaciones o archivos desde enlaces abiertos por QR
• En empresas, estandarizar y señalizar los códigos QR oficiales
• Capacitar de forma continua a empleados sobre QRishing, phishing y vishing
• Implementar doble verificación para accesos, pagos o solicitudes sensibles

Autoridades también recomiendan reportar cualquier intento sospechoso y mantener actualizados los sistemas de seguridad en dispositivos móviles.