Alerta cibernética en México: estafadores ahora te mandan códigos QR maliciosos para robarte todo
La Policía Cibernética alerta sobre la nueva modalidad de fraude digital llamada Quishing. Descubre cómo operan los códigos QR maliciosos para robar datos.


Los códigos QR (Quick Response) se han integrado en la vida diaria de México, desde el menú de tu restaurante favorito hasta las transferencias bancarias o los pagos en tiendas. Son una herramienta cómoda y rápida, pero esta misma popularidad es la que los ha convertido en el nuevo blanco de los ciberdelincuentes.
La Policía Cibernética de la Secretaría de Seguridad Ciudadana (SSC) en México ha emitido una alerta crucial sobre una modalidad de fraude digital conocida como Quishing (una combinación de QR y Phishing), donde los estafadores utilizan códigos maliciosos para robar información sensible, credenciales bancarias y dinero a sus víctimas.
En AS México te explicamos en qué consiste esta peligrosa estafa, cómo opera y, lo más importante, las recomendaciones vitales de las autoridades para proteger tus finanzas y datos personales.
¿Cómo funciona el robo con Códigos QR (Quishing)?
El Quishing es una táctica de ingeniería social avanzada que aprovecha la confianza que el usuario deposita en la simplicidad de un código escaneable. El modus operandi de los delincuentes es el siguiente:
1. Suplantación en el mundo físico
Los estafadores imprimen códigos QR fraudulentos y los superponen o pegan encima de códigos legítimos en lugares públicos como:
- Parquímetros: Reemplazan el código para pagar el estacionamiento.
- Restaurantes o bares: Sustituyen los códigos de los menús.
- Puntos de venta: Falsifican códigos de pago o de promociones.
- Anuncios o carteles: Colocan códigos que supuestamente ofrecen descuentos o información adicional.
Cuando la víctima escanea el código, en lugar de acceder al servicio real, es redirigida a una página web clonada que simula ser un banco, una plataforma de pago o un sitio oficial. El objetivo es que la persona ingrese sus credenciales bancarias, contraseñas o números de tarjeta.
#AlertaCibernética | La #PolicíaCibernética alerta sobre el uso de los códigos #QR maliciosos que, al ser escaneados, redirigen a las víctimas a sitios web fraudulentos o descargan software malicioso en sus dispositivos.
— SSC CDMX (@SSC_CDMX) October 1, 2025
Te brindamos estas recomendaciones para evitar el robo de… pic.twitter.com/EPOWfhV54A
2. Fraude a través de canales digitales
La modalidad más reciente y peligrosa detectada por la Policía Cibernética ocurre a través de canales digitales no solicitados:
- Correo electrónico (e-mail): Recibes un correo que simula ser de tu banco, una empresa de paquetería o una institución de gobierno (SAT, etc.). El mensaje te urge a escanear un código QR adjunto para “verificar tu cuenta”, “descargar una factura” o “recibir un reembolso”.
- Mensajes de texto (SMS) y WhatsApp: Llega un mensaje alarmante (por ejemplo, “Se ha detectado un cargo inusual, escanee para cancelar”) o un falso aviso de una promoción exclusiva.
Al escanear el código desde tu celular, la víctima es llevada a un sitio web falso diseñado para robar las credenciales de acceso o, peor aún, se inicia la descarga silenciosa de un malware (software malicioso) en el dispositivo, permitiendo al atacante tomar control parcial de tu teléfono.
Recomendaciones clave de seguridad digital
La Unidad de la Policía Cibernética de la SSC recomienda enfáticamente a la ciudadanía adoptar medidas preventivas para no caer en este tipo de engaño. La premisa es: Desconfía de la rapidez y de los códigos no solicitados.
1. Verifica la fuente y el destino
- Inspección física: Si vas a escanear un código en un lugar físico (restaurante, tienda), tómate un momento para revisarlo. Fíjate si el código parece estar pegado, mal impreso o sobrepuesto de manera descuidada. Si te parece sospechoso, no lo escanees.
- Revisa la URL: Después de escanear, antes de ingresar cualquier dato, observa la barra de direcciones de tu navegador. La URL debe ser la oficial y reconocible de la empresa o institución. Si la dirección es una mezcla de números o letras sin sentido, cierra la página inmediatamente.
- Llamada directa: Si recibes un QR de tu banco o una empresa, nunca uses el código. Llama directamente al número oficial de la institución (que encuentras en tu tarjeta o sitio web oficial) para verificar si la comunicación es legítima.
2. Protege tu dispositivo
- Usa Apps con verificación: Utiliza aplicaciones de lectura de QR que integren funciones de seguridad, como alertas sobre enlaces maliciosos o verificación de reputación del sitio web.
- Actualizaciones: Mantén el sistema operativo de tu smartphone y todas tus aplicaciones actualizadas. Las actualizaciones suelen incluir parches de seguridad contra malware reciente.
- Antivirus móvil: Considera instalar una aplicación de seguridad o antivirus de buena reputación en tu dispositivo móvil.
3. La regla de oro: No ingreses datos sensibles
- Cero datos en sitios dudosos: Nunca, bajo ninguna circunstancia, ingreses contraseñas, NIPs, números de tarjeta (incluido el CVC o CVV), o tokens de seguridad en un sitio web al que llegaste a través de un código QR no verificado o de un mensaje no solicitado. Ninguna institución bancaria te pedirá estos datos por este medio.
Noticias relacionadas
Si detectas un posible intento de fraude o necesitas apoyo, puedes contactar a la Unidad de Policía Cibernética de la SSC al teléfono 55 5242 5100, extensión 5086, o al correo electrónico policia.cibernetica@ssc.cdmx.gob.mx.
¡Tus opiniones importan! Comenta en los artículos y suscríbete gratis a nuestra newsletter y a las alertas informativas en la App o el canal de WhatsApp. ¿Buscas licenciar contenido? Haz clic aquí
Rellene su nombre y apellidos para comentar