La trampa de los cuatro toques: los códigos QR falsos son la estafa de viaje que más crece este verano

El quishing (phishing mediante códigos QR) aumentó un 146% durante el primer trimestre de 2026, con aproximadamente 18,7 millones de incidentes registrados solo en marzo, según datos de inteligencia de amenazas publicados a principios de junio. Los códigos QR ya aparecen en cerca del 12% de todos los ataques de phishing, frente a menos del 1% en 2021.

Las pérdidas son reales y cada vez mayores. En Reino Unido, el centro nacional contra el fraude registró más de 780 denuncias relacionadas con quishing y alrededor de 3,5 millones de libras esterlinas robadas en un solo año. Los informes se han multiplicado aproximadamente por 14 en cinco años, un crecimiento que los investigadores relacionan con el crimen organizado.

Los reguladores estadounidenses han lanzado advertencias similares. La FTC alertó a los consumidores sobre las estafas mediante códigos QR, y una estimación sugiere que más de 26 millones de estadounidenses ya han sido dirigidos a sitios web maliciosos a través de uno de estos códigos.

La razón por la que funciona no es técnica, sino humana. Diversas encuestas indican que cerca de tres cuartas partes de las personas escanean un código sin comprobar adónde conduce, y la mayoría de los ataques están diseñados específicamente para móviles, donde los enlaces acortados y las pantallas pequeñas ocultan las señales de alerta.

Dónde se colocan las trampas

La táctica clásica consiste en pegar una pegatina con un código QR falso sobre uno auténtico en un lugar concurrido y aparentemente fiable. Los parquímetros fueron uno de los primeros objetivos. El FBI emitió una alerta después de detectar códigos manipulados en Austin, San Antonio y Houston que redirigían silenciosamente a los usuarios hacia páginas falsas de pago.

Desde entonces, la técnica se ha extendido a menús de restaurantes, señalización de aeropuertos, recepciones de hoteles, etiquetas de paquetes e incluso cartas impresas. La versión dirigida específicamente a los viajeros se conoce como la «estafa de los cuatro toques»:

• Escanear el código
• Abrir una página convincente
• Introducir los datos de pago
• Aprobar el cargo

Todo ocurre antes de que algo parezca sospechoso.

Paralelamente, otra oleada llega por correo electrónico. Las falsas confirmaciones de reservas están tan bien diseñadas que pueden convencer fácilmente a un viajero cansado de «verificar» una tarjeta o una reserva.

Por qué los usuarios de eSIM son un objetivo prioritario

Configurar una eSIM de viaje normalmente implica escanear un código QR enviado por el proveedor. Como escanear para conectarse ya forma parte de la experiencia habitual, los códigos falsos pasan desapercibidos con facilidad.

Hay dos tipos principales de ataque que conviene conocer.

1. El primero busca vaciar tu cartera. Incluye falsos códigos de «WiFi gratis en el aeropuerto» o «datos baratos», páginas fraudulentas de acceso a redes WiFi públicas que roban información personal y sitios web que imitan a proveedores de eSIM ofreciendo planes ilimitados poco realistas o solicitando pagos en criptomonedas. Si no tienes claro en quién confiar, puede ayudarte entender cómo los sitios de reseñas y comparativas eligen realmente a sus proveedores recomendados.
2. El segundo tipo busca controlar tu número de teléfono. Los estafadores se hacen pasar por tu operador móvil, aseguran que necesitas actualizar tu eSIM o verificar tus datos KYC y tratan de conseguir un código de activación o un QR. Con esa información pueden transferir tu número a otro dispositivo y recibir los códigos de verificación que protegen tu correo electrónico y tus cuentas bancarias. Es lo que se conoce como SIM swapping.

Diversas unidades policiales de ciberdelincuencia, incluidas las de India, han documentado casos reales en los que compartir un único código permitió a los delincuentes tomar el control total de las cuentas bancarias de la víctima.

Cómo detectar un código QR falso y protegerte

Algunos hábitos sencillos bloquean la mayoría de estos ataques:

• Obtén siempre el código QR de tu eSIM desde la aplicación oficial o la página web de tu proveedor. Nunca utilices códigos publicados en lugares públicos ni recibidos sin haberlos solicitado.
• Antes de abrir un enlace generado tras escanear un código, revisa cuidadosamente la URL. Si está mal escrita, parece desconocida o te presiona para actuar rápido, ciérrala.
• Desconfía de cualquier promesa de «datos gratis por escanear». Si el código está impreso físicamente, pasa el dedo por encima. Una pegatina colocada sobre el código original es una de las señales más habituales de manipulación. Si sospechas que ha sido alterado, avisa al personal del establecimiento.
• También conviene conocer otras estafas habituales de la temporada. Muchos de estos grupos criminales combinan fraudes relacionados con compras online y entradas para grandes eventos, por lo que detenerse unos segundos para verificar siempre merece la pena. Puedes conocer más sobre las estafas de compras online y entradas relacionadas con grandes eventos.

Protege tu número, no solo tu tarjeta

La variante basada en el SIM swapping es especialmente peligrosa porque puede vaciar cuentas bancarias completas. Por eso es importante proteger también tu número de teléfono.

Configura un PIN o una contraseña adicional en tu cuenta móvil para impedir transferencias no autorizadas. Siempre que sea posible, sustituye los códigos SMS de doble autenticación por aplicaciones autenticadoras. Así, aunque alguien robe tu número, no podrá acceder automáticamente a tus cuentas.

Y recuerda una regla básica: nunca compartas por teléfono un código de activación o verificación con alguien que te haya llamado. Ningún operador legítimo te lo pedirá.

Qué hacer si crees que has sido víctima

Actúa lo más rápido posible y sigue este orden:

1. Contacta con tu banco para bloquear las tarjetas y reportar el fraude.
2. Llama a tu operador móvil si tu señal desaparece repentinamente, ya que puede ser una señal de SIM swapping.
3. Cambia las contraseñas de tu correo electrónico y de tus servicios bancarios.
4. Presenta una denuncia ante la autoridad competente o la policía local y, si estás en el extranjero, informa también a tu embajada.

La velocidad es clave. La mayor parte del daño suele producirse durante la primera hora.

La defensa más sencilla de todas

La mejor manera de evitar este problema es no necesitar escanear ningún código QR en el aeropuerto. Compra e instala tu eSIM con un proveedor fiable antes de salir de viaje. Así se activará al llegar a destino y podrás conectarte nada más aterrizar, sin perseguir redes WiFi gratuitas ni escanear códigos desconocidos.

Si no sabes cuál elegir, consulta nuestra guía sobre las mejores eSIM de viaje donde comparamos los proveedores que hemos probado personalmente en precio, cobertura y velocidad. También puedes leer nuestra guía sobre cómo evitar los cargos de roaming para conocer más formas de mantenerte conectado durante tus viajes.