El 'quishing' asalta los buzones: la nueva estafa con códigos QR que llega en papel y vacía tus cuentas en tres segundos

España registró más de 470.000 delitos informáticos en 2023, según el último balance del Ministerio del Interior, lo que supone un incremento del 26% respecto al año anterior. Detrás de buena parte de esas cifras hay una misma mecánica: engañar al usuario para que entregue sus datos sin darse cuenta. El fraude online ya no distingue de perfiles ni de edades, y sus métodos mutan con una velocidad que supera a la de las propias alertas institucionales. La última evolución tiene nombre propio —quishing— y ha encontrado en el buzón de casa su nuevo campo de batalla.

Qué es el 'quishing' y por qué es tan peligroso

El phishing ha evolucionado. Ya no llega solo como un correo electrónico mal escrito o una llamada sospechosa. Ahora se presenta en forma de carta con membrete oficial, tono urgente y un pequeño cuadrado negro y blanco impreso: un código QR.

Esta técnica, bautizada como quishing —combinación de QR y phishing—, traslada el engaño digital al mundo físico para ganar credibilidad. El resultado es una trampa casi invisible que, según la Policía Nacional, "no hace ruido y no la ves venir".

La amenaza ha crecido hasta el punto de que el cuerpo policial ha lanzado en febrero de 2026 un vídeo en redes sociales explicando el mecanismo del fraude y cómo evitarlo con una sencilla configuración del móvil.

Cómo funciona la estafa: tres segundos para perderlo todo

El proceso es inquietantemente rápido. Una agente de la Policía Nacional lo describe con precisión quirúrgica en el vídeo difundido por el cuerpo:

Solo son tres segundos. La cámara detecta el QR, sale un enlace y en un toque estás dentro"

Cuerpo de la Policía Nacional

El usuario escanea lo que parece un código legítimo —en un parquímetro, en una supuesta multa de tráfico, en el embalaje de un paquete o incluso en la carta de un restaurante— y es redirigido a una página web que imita a la perfección el sitio oficial. Logotipos, colores, estructura: todo está diseñado para anular las alarmas.

El objetivo, según la Policía, es siempre el mismo:

Lo que parece un QR real puede llevar colocada una pegatina encima que, al escanearla, te dirige a una página web falsa. Todo ello con el objetivo de robarte las credenciales"

Cuerpo de la Policía Nacional

Una vez dentro, la víctima introduce sus datos creyendo que está pagando un servicio o respondiendo a una notificación oficial. En realidad, los está entregando directamente a los delincuentes.

La vuelta al papel: cartas físicas contra usuarios de criptomonedas

La modalidad más sofisticada documentada hasta ahora apunta directamente a los titulares de monederos físicos de criptomonedas. El investigador en ciberseguridad Dmitry Smilyanets ha documentado la recepción de cartas que simulan proceder del equipo de seguridad de wallets como Trezor o Ledger.

El mensaje advierte de una supuesta "Autenticación de Seguridad" obligatoria y amenaza con el cierre de la cuenta y la pérdida de los activos si no se actúa de inmediato. Al escanear el QR adjunto, el usuario llega a una réplica del sitio oficial que solicita introducir la frase de recuperación, una secuencia de entre 12 y 24 palabras que equivale a la llave maestra del monedero.

Con esa frase semilla, los delincuentes pueden importar el monedero en otro equipo y transferir todos los fondos sin necesidad de interacción adicional.

Los datos se envían automáticamente a servidores controlados por los atacantes mediante una API que actúa en segundo plano. Uno de los dominios fraudulentos detectados ha sido desactivado; otro, vinculado a Trezor, fue identificado por Cloudflare como infraestructura de phishing aunque seguía activo en el momento de publicarse los primeros informes.

No solo criptomonedas: el malware que llega disfrazado de app meteorológica

El alcance del quishing postal va más allá del ecosistema cripto. Panda Security documentó un caso en Suiza donde los ciudadanos recibían cartas aparentemente enviadas por una oficina federal de meteorología. El documento incluía un QR que invitaba a descargar una aplicación de alertas para Android.

Al escanearlo, el usuario no llegaba a Google Play, sino a una web falsa que ofrecía una aplicación cargada con el malware Coper —también conocido como Octo2—. Este código malicioso es capaz de interceptar códigos de verificación, leer notificaciones y robar credenciales de aplicaciones bancarias.

El truco de la Policía: cómo protegerse antes de escanear

La buena noticia es que la solución existe y está al alcance de cualquier usuario. La Policía Nacional recomienda activar una función disponible tanto en Android como en iOS que muestra el enlace completo antes de abrirlo. "Al activar esta función, se revelará el dominio real del sitio web al que te va a dirigir el código QR", explica el cuerpo policial. Si la dirección no coincide con el sitio oficial o presenta caracteres extraños, hay que desconfiar y no acceder.

Los expertos en ciberseguridad añaden tres reglas básicas para no caer en la trampa: desconfiar de cualquier carta que transmita urgencia o amenace con bloqueos, no introducir nunca la frase de recuperación de un monedero en una página web —solo debe usarse en el propio dispositivo durante una restauración legítima—, y verificar siempre que la descarga de cualquier aplicación procede de la tienda oficial, comprobando el nombre exacto.

una amenaza que seguirá creciendo

El éxito del quishing postal no radica en una mayor sofisticación técnica, sino en una paradoja psicológica: cuando los canales digitales están saturados de fraudes y los usuarios han aprendido a desconfiar del email, los delincuentes vuelven al papel porque genera más confianza.

El experto en ciberseguridad David Conde ya advirtió que "las estafas serán cada vez más elaboradas conforme evoluciona la inteligencia artificial". La combinación de IA para generar comunicaciones creíbles y el soporte físico para eludir los filtros digitales apunta a que esta modalidad irá en aumento durante 2026.

Las autoridades europeas y los fabricantes de hardware de criptomonedas han intensificado sus avisos, pero la responsabilidad última recae en el usuario. En un mundo hiperconectado, el eslabón más débil sigue siendo el mismo: el segundo que tardamos en escanear sin pensar.