Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Estafa con Códigos QR: Así Roban Datos y Dinero en Colombia

Escrito por Muriel de Juan Lara | Oct 21, 2025 1:00:01 PM

Durante los últimos años, Colombia ha experimentado un crecimiento exponencial en los pagos electrónicos y el uso de códigos QR. Lo que empezó como una alternativa práctica y sin contacto, sobre todo después de la pandemia, hoy se ha convertido en el escenario perfecto para una nueva forma de estafa digital.

Miles de usuarios, especialmente en ciudades como Bogotá y Medellín, han sido víctimas de fraudes que utilizan códigos QR falsos colocados en lugares públicos y comercios, lo que ha encendido las alarmas entre autoridades y expertos en ciberseguridad.

 

¿Cómo funciona esta estafa con códigos QR?

 

El fraude, conocido como “QR swapping” o sustitución de códigos QR, se basa en una técnica simple pero muy efectiva. Los delincuentes imprimen pegatinas con códigos falsos y las colocan encima de los códigos reales que se usan para realizar pagos en cafeterías, restaurantes o tiendas.

A simple vista, el código parece completamente legítimo. Pero cuando lo escaneas con tu celular, en lugar de llevarte a la plataforma de pagos de tu banco o app de confianza, te redirige a una página web clonada que imita el diseño de las aplicaciones más populares.

En ese sitio, los estafadores pueden robar tus datos personales, como nombre, número de cuenta, documento de identidad, claves de acceso o incluso instalar malware en tu teléfono para espiar tus movimientos o tomar el control de tu dispositivo.

Una de las primeras en alertar sobre este método fue la usuaria de TikTok @conmari.narvaez, quien explicó en un video viral:

“Imagina que vas a pagar un café y en segundos tu cuenta queda vacía. Los estafadores pegan stickers falsos sobre los códigos reales, y al escanearlos entras a páginas clonadas que roban tus datos o instalan virus.”

 

El auge de los pagos digitales y el riesgo creciente

 

El uso de los códigos QR se disparó tras la pandemia. Millones de colombianos los adoptaron por su rapidez, comodidad y seguridad aparente, sin sospechar que también podían convertirse en una herramienta para el crimen.

De acuerdo con datos recientes, más del 60% de los comercios en Colombia acepta pagos mediante QR, y plataformas como Nequi, Daviplata, Bancolombia y Wompi han impulsado su uso cotidiano. Sin embargo, la misma accesibilidad que los hace atractivos también los hace vulnerables.

Durante 2025, la Policía Cibernética ha registrado más de 25.000 denuncias por delitos informáticos, de las cuales cerca de 12.000 están relacionadas con hurtos digitales. En muchos casos, las víctimas no notan el engaño hasta que descubren movimientos no autorizados en sus cuentas.

 

Conoce más: Nuevo Exploit de Códigos QR Elude la Seguridad del Aislamiento Web

 

Un fraude que combina lo físico y lo digital

 

La particularidad de este método es que combina ingeniería social con manipulación física. Los delincuentes primero identifican establecimientos donde los códigos están visibles, como en las mesas o mostradores, y luego los reemplazan por sus propios stickers.

Estos códigos falsos suelen dirigir al usuario a páginas diseñadas para parecer auténticas. Allí se solicita que el cliente introduzca su número de celular, su clave o datos bancarios. Lo que parece una transacción normal termina siendo una puerta abierta para el robo de información sensible o dinero.

En algunos casos, los enlaces incluso descargan archivos maliciosos que infectan el dispositivo, permitiendo el acceso remoto al teléfono y facilitando el robo de contraseñas, contactos o billeteras digitales.

 

Ejemplo de cómo opera el engaño

 

  1. Vas a un café o tienda y escaneas el código QR del mostrador.

 

  1. El código redirige a una página falsa que se ve idéntica a la de tu banco o app de pago.

 

  1. Ingresas tus datos para “completar el pago”.

 

  1. Los delincuentes capturan la información y la usan para acceder a tu cuenta o transferir tu dinero.

 

  1. En algunos casos, el QR descarga un archivo que instala malware sin que te des cuenta.

 

Cómo reconocer un código QR falso

 

A primera vista, distinguir un QR legítimo de uno alterado no es sencillo. Pero hay señales que puedes aprender a identificar:

 

  1. Adhesivos sospechosos: si notas una etiqueta mal pegada o una textura diferente, es posible que haya sido reemplazada.

 

  1. URL extrañas: cuando escanees el código, revisa el enlace antes de abrirlo. Si no pertenece al dominio oficial del banco o comercio, no continúes.

 

  1. Ausencia de certificado de seguridad: asegúrate de que la dirección empiece con “https://” y tenga el ícono del candado.

 

  1. Mensajes urgentes o premios: evita códigos que prometen descuentos o regalos inmediatos. Son trampas comunes para inducirte a hacer clic.

 

  1. Revisa el entorno: si estás en un lugar público y el código está en una superficie fácil de manipular, desconfía.

 

Consejos prácticos para protegerte

 

Desde TecnetOne, recomendamos adoptar medidas de precaución simples pero efectivas para evitar convertirte en víctima:

 

  1. Verifica el código antes de escanearlo. Comprueba que no haya superposiciones ni alteraciones.

 

  1. Usa la app oficial del banco o la plataforma de pagos. Evita escanear desde la cámara del teléfono, ya que las aplicaciones oficiales ofrecen mayor protección.

 

  1. Confirma la URL. Antes de ingresar cualquier dato, revisa cuidadosamente la dirección web que aparece en pantalla.

 

  1. Actualiza tu teléfono y tus apps. Los parches de seguridad ayudan a bloquear malware que se aprovecha de vulnerabilidades.

 

  1. Evita redes Wi-Fi públicas. Muchos fraudes aprovechan conexiones abiertas para interceptar información durante el pago.

 

  1. Desconfía de mensajes o correos no solicitados que te pidan escanear códigos QR o validar datos bancarios.

 

  1. Monitorea tus cuentas. Activa notificaciones en tiempo real para detectar movimientos sospechosos de inmediato.

 

¿Qué hacer si fuiste víctima?

 

Si sospechas que escaneaste un código falso o notaste transacciones no reconocidas, actúa de inmediato:

 

  1. Contacta a tu banco y bloquea tus cuentas o tarjetas.

 

  1. Cambia tus contraseñas de banca en línea y redes sociales.

 

  1. Escanea tu dispositivo con un antivirus actualizado para eliminar cualquier archivo malicioso.

 

  1. Denuncia el hecho ante la Policía Cibernética a través del portal CAI Virtual o la línea 123.

 

Recuerda que entre más rápido actúes, menor será el daño.

 

Lee más: Riesgos de Seguridad de los Códigos QR

 

La importancia de la ciberconciencia

 

El caso colombiano ilustra un problema que va más allá del país: el uso irresponsable o ingenuo de la tecnología. Los códigos QR son herramientas útiles, pero también una puerta abierta para los ciberdelincuentes cuando los usuarios no verifican su autenticidad.

En TecnetOne insistimos en que la ciberseguridad comienza en el comportamiento diario. Revisar antes de escanear, desconfiar de enlaces desconocidos y educarse sobre nuevas amenazas puede marcar la diferencia entre una transacción segura y un robo digital.

 

En resumen

 

Los códigos QR llegaron para facilitarte la vida, pero los delincuentes han aprendido a convertirlos en trampas. Con un poco de atención y educación digital, puedes seguir disfrutando de la comodidad del pago sin contacto sin poner en riesgo tus datos.

Desde TecnetOne, te invitamos a mantenerte alerta y a promover entre tus conocidos una cultura de seguridad cibernética. La prevención sigue siendo tu mejor herramienta contra el fraude.

 
Ver post completo