Foto: Archivo – Todos los derechos reservados

España ha experimentado un alarmante aumento de delitos informáticos, superando los 470.000 casos en 2023, lo que representa un incremento del 26% con respecto al año anterior. Una táctica particularmente insidiosa que contribuye a estas cifras es el “quishing”, una evolución del phishing que utiliza códigos QR para engañar a las víctimas.

¿Qué es el Quishing Postal?

El quishing, una combinación de QR y phishing, traslada el fraude digital al mundo físico. Los estafadores envían cartas que simulan ser comunicaciones oficiales, incluyendo un código QR. Al escanear este código, la víctima es redirigida a una página web falsa, diseñada para imitar un sitio legítimo.

La Policía Nacional ha alertado sobre esta técnica, describiéndola como una trampa casi invisible que puede pasar desapercibida.

En febrero de 2026, el cuerpo policial lanzó un vídeo explicativo en redes sociales para concienciar sobre el fraude y cómo evitarlo.

¿Cómo Funciona el Fraude?

La mecánica del quishing es sencilla pero efectiva. El usuario escanea un código QR aparentemente legítimo, que puede encontrarse en una supuesta multa de tráfico, en el embalaje de un paquete o incluso en la carta de un restaurante. Este código redirige a una página web fraudulenta, donde se solicita información personal o financiera.

El objetivo final es siempre el mismo: obtener los datos de la víctima para fines ilícitos. Al ingresar sus datos, creyendo que está realizando un pago o respondiendo a una notificación oficial, la víctima los está entregando directamente a los delincuentes.

Objetivo: Monederos de Criptomonedas

Una de las modalidades más sofisticadas del quishing se dirige a los titulares de monederos físicos de criptomonedas.

Los estafadores envían cartas que simulan proceder de los equipos de seguridad de wallets como Trezor o Ledger. En estos mensajes, se advierte sobre una supuesta “Autenticación de Seguridad” obligatoria, amenazando con el cierre de la cuenta y la pérdida de activos si no se actúa de inmediato.

Al escanear el código QR adjunto, el usuario es llevado a una réplica del sitio oficial que solicita la frase de recuperación, una secuencia de entre 12 y 24 palabras que actúa como la llave maestra del monedero. Con esta información, los delincuentes pueden acceder al monedero y transferir todos los fondos.

Más Allá de las Criptomonedas

El alcance del quishing postal no se limita al ámbito de las criptomonedas. Se han documentado casos en los que los ciudadanos reciben cartas aparentemente enviadas por oficinas federales de meteorología.

Estas cartas incluyen un código QR que invita a descargar una aplicación de alertas para Android.

Sin embargo, al escanear el código, el usuario es redirigido a una web falsa que ofrece una aplicación cargada con el malware Coper, capaz de interceptar códigos de verificación, leer notificaciones y robar credenciales de aplicaciones bancarias.

¿Cómo Protegerse del Quishing?

Afortunadamente, existen medidas para protegerse de esta amenaza. La Policía Nacional recomienda activar una función disponible tanto en Android como en iOS que muestra el enlace completo antes de abrirlo. De esta manera, se puede verificar el dominio real del sitio web al que dirige el código QR. Si la dirección no coincide con el sitio oficial o presenta caracteres extraños, es importante desconfiar y no acceder.

Además, los expertos en ciberseguridad recomiendan:

• Desconfiar de cualquier carta que transmita urgencia o amenace con bloqueos.
• No introducir nunca la frase de recuperación de un monedero en una página web, utilizándola solo en el propio dispositivo durante una restauración legítima.
• Verificar siempre que la descarga de cualquier aplicación procede de la tienda oficial, comprobando el nombre exacto.

El Factor Confianza

El éxito del quishing postal reside en una paradoja: en un entorno digital saturado de fraudes, los delincuentes recurren al papel para generar confianza.

Ante la creciente sofisticación de las estafas y la evolución de la inteligencia artificial, es fundamental que los usuarios mantengan la vigilancia y adopten medidas de protección para evitar caer en esta trampa.

En un mundo hiperconectado, la responsabilidad recae en el usuario. Es crucial tomarse un segundo para pensar antes de escanear cualquier código QR y evitar convertirse en víctima de esta creciente amenaza cibernética.