El quishing es una modalidad de phishing que utiliza códigos QR fraudulentos para robar datos bancarios o redirigir a la víctima a páginas falsas donde introduce sus credenciales. Es una de las estafas bancarias que más está creciendo en España desde 2025.

Si has escaneado un código QR sospechoso y han accedido a tu cuenta bancaria, puedes reclamar al banco la devolución del dinero.

Qué es el quishing y cómo funciona

El término quishing combina «QR» y «phishing». El mecanismo es sencillo: el estafador coloca un código QR fraudulento en un lugar donde la víctima lo escanea sin sospechar. Al escanearlo, el móvil abre una página web que imita la del banco o un servicio de pago, donde la víctima introduce sus datos creyendo que es legítima.

A diferencia del smishing o el phishing por email, el quishing explota la confianza que generan los códigos QR: estamos acostumbrados a escanearlos en restaurantes, aparcamientos y comercios sin cuestionarlos.

Dónde aparecen los QR fraudulentos

Multas de tráfico falsas: los estafadores colocan avisos falsos de multa en el parabrisas del coche con un QR para «pagar la sanción». Al escanearlo, la víctima accede a una pasarela de pago falsa donde introduce los datos de su tarjeta.

Parquímetros y zonas de estacionamiento: pegatinas con QR fraudulentos sobre los QR legítimos de las máquinas de aparcamiento. La víctima cree estar pagando el parquímetro y en realidad entrega sus datos bancarios.

Cartas de restaurantes: sustitución del QR legítimo del menú por uno que redirige a una web maliciosa. Es menos frecuente pero se ha documentado en varias ciudades españolas.

Correo postal y folletos: cartas que imitan comunicaciones de bancos, Hacienda o la Seguridad Social con un QR para «verificar datos» o «consultar una notificación».

Correo electrónico: QR insertados en emails de phishing. El objetivo es eludir los filtros antispam que detectan enlaces maliciosos pero no analizan imágenes de QR.

Qué pasa cuando escaneas un QR fraudulento

Según la modalidad, el QR puede:

Redirigir a una web falsa del banco donde introduces usuario, contraseña y código OTP. Con esos datos, el estafador accede a tu banca online en tiempo real.

Llevar a una pasarela de pago fraudulenta donde introduces los datos de tu tarjeta (número, caducidad, CVV). Los estafadores usan esos datos para realizar compras online.

Descargar malware en tu móvil que intercepta SMS (para capturar códigos OTP) o accede a tu app bancaria.

Responsabilidad del banco

El marco legal es el mismo que para cualquier modalidad de phishing bancario: el artículo 45 del RDL 19/2018 obliga al banco a devolver el importe de las operaciones no autorizadas de forma inmediata.

El banco no puede alegar que el usuario fue imprudente al escanear un QR. Los tribunales consideran que:

— El uso de códigos QR está normalizado y no implica negligencia grave por parte del usuario.
— El banco tiene la obligación de implementar sistemas de autenticación reforzada que impidan operaciones fraudulentas aunque el estafador tenga las credenciales.
— Si el sistema de seguridad del banco no detectó patrones inusuales (operaciones desde un dispositivo nuevo, IP diferente, importes atípicos), la negligencia es del banco, no del cliente.

Qué hacer si has sido víctima de quishing

1. Bloquea tarjetas y acceso a banca online inmediatamente llamando a tu banco.

2. No borres nada del móvil. Conserva el historial del navegador con la URL a la que te redirigió el QR, capturas de pantalla de la web falsa y, si es posible, foto del QR físico.

3. Denuncia en comisaría aportando toda la documentación. Si el QR estaba en un lugar público (parquímetro, parabrisas), indica la ubicación exacta para que la policía pueda retirarlo.

4. Reclama al banco la devolución conforme al artículo 45 del RDL 19/2018. Adjunta copia de la denuncia y los extractos con las operaciones no autorizadas.

5. Si el banco no devuelve, reclama al Banco de España y valora la demanda judicial.

Cómo protegerte del quishing

Verifica el QR antes de escanearlo: comprueba que no es una pegatina superpuesta sobre el QR original. En parquímetros y establecimientos, pregunta al personal si el QR es legítimo.

Mira la URL antes de introducir datos: cuando tu móvil abra la página, comprueba que la dirección web es la oficial del banco o del servicio. Las webs falsas suelen tener URLs similares pero no idénticas (bbva-verificacion.com en lugar de bbva.es).

Nunca introduzcas datos bancarios en una web a la que has accedido escaneando un QR en la calle. Tu banco no usa QR públicos para verificar datos ni realizar pagos.

¿Has escaneado un QR y te han vaciado la cuenta?
Puedes reclamar la devolución al banco. Analizo tu caso sin compromiso.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813