Desde su masificación tras la pandemia de 2020, los códigos QR se han convertido en un estándar de facto en sectores como la hostelería, el transporte público y, más recientemente, en los servicios de recarga energética, entre muchos otros.
¡Cuidado con los códigos #QR! 📲
— INCIBE (@INCIBE) October 24, 2024
Escanear uno malicioso puede activar #malware u otra #amenaza.
Verifica siempre su origen y nunca compartas información personal ✔️.
Sigue nuestros #consejos para no ser víctima ✋.
🔗 #CasoReal017: https://t.co/vSIybQgwTt#NextGenerationEU pic.twitter.com/GCt48M9NKg
El Instituto Nacional de Ciberseguridad (INCIBE) es una de las voces de alerta más constantes sobre este tipo de fraudes. Aunque su advertencia inicial en X (adjunta en este artículo) data de octubre de 2024, la amenaza no solo sigue vigente, sino que se ha intensificado. Informes recientes del propio organismo y las alertas de la OCU de este mes confirman que el ‘QRishing’ en puntos de recarga es una táctica en auge en 2025.
Durante el día de ayer, 10 de julio, la Organización de Consumidores y Usuarios publicó en su página web un comunicado que afirmaba que se habían detectado diferentes intentos de fraude de QRishing asociados a los puntos de recarga de coches eléctricos, aprovechando los viajes de verano y el aumento en el uso de este tipo de servicios durante la época estival. Dicho organismo también ha compartido algunas claves para protegernos de este tipo de estafas.
En qué consiste este timo
En los puntos de recarga públicos, los estafadores colocan una pegatina con un código QR falso sobre la original. Intentan que sea lo más parecida posible para que pase desapercibida. Cuando el usuario intenta acceder al código QR escaneándolo con la cámara de su terminal, está entrando en una web fraudulenta que solicitará diferentes datos para proceder con la recarga del vehículo. Entre ellos, nuestro número de tarjeta.
Tras efectuar el pago a través de la web fraudulenta, la víctima se enfrenta a la frustración inmediata: el cargador no se activa y el vehículo no recibe energía. Si la estafa está bien elaborada, una vez se escanea por segunda vez dicho código, sí que redirige a la página correcta para realizar la recarga. Al tratarse de cantidades pequeñas normalmente, es posible que no seamos conscientes del timo hasta que no comprobemos el extracto bancario pasados unos días. No obstante, el resultado final es que hemos perdido nuestro dinero.
Así puedes detectar si el código QR es falso
La OCU explica que es importante observar bien el código QR. Si observamos que está pegado encima de otra pegatina o tiene un color diferente, es posible que sea falso. En el caso de que sea posible, es recomendable que busquemos otro cargador que esté cercano a nuestra posición para evitar caer en la estafa.
Una vez escaneado el código, deberemos observar la URL a la que hemos sido dirigidos. Si tiene un dominio sospechoso, evitar introducir tus datos personales o bancarios. En caso de duda, siempre puedes ponerte en contacto con el proveedor de servicios a través de las redes sociales para que te resuelvan cualquier cuestión que pueda surgirte. También recomienda que utilicemos siempre que sea posible la aplicación oficial de suministrador de energía para reducir este tipo de errores.
¿Cómo diferenciar una URL legítima de una fraudulenta? Una de las claves está en el texto que aparece antes del «.com» o «.es». Una URL legítima de ejemplo podría ser esta «https://recarga.proveedor.com», una falsa podría tener esta estructura «https://proveedor.pago-seguro.net». El dominio de pago seguro no pertenece a un proveedor, por lo que se trataría de un subdominio creado para engañar. Desconfía siempre de dominios que no reconozas como la web oficial de la compañía eléctrica, especialmente si terminan en «.info», «.biz» o terminaciones similares.
| Acción Preventiva | Detalle Clave | Nivel de Alerta |
|---|---|---|
| Inspección Física | Busca pegatinas superpuestas, con colores o texturas diferentes al soporte original. Toca el QR para sentir si hay un adhesivo encima. | 🔴 Crítico |
| Verificación de URL | Antes de pagar, revisa la URL que muestra tu móvil. El nombre de la empresa (ej: 'endesa') debe estar justo antes del '.com' o '.es'. | 🔴 Crítico |
| Análisis de la Web | Desconfía de páginas con faltas de ortografía, imágenes de baja calidad o que te presionen con urgencia para pagar. | 🟡 Importante |
| Uso de Apps Oficiales | Siempre que sea posible, utiliza la aplicación oficial del proveedor de energía en lugar de escanear el código QR físico. | 🟢 Recomendado |
Si no nos hemos dado cuenta a tiempo y ya hemos introducido nuestros datos, congela la tarjeta del pago y ponte en contacto con tu banco para que analicen la situación y te expliquen qué pueden hacer. En función del tipo de transacción, es posible que puedan anularla. Cada entidad tiene un número de teléfono diferente, pero podrás encontrarlo tanto en el reverso de tu tarjeta de crédito como en la propia página web del banco.
La Policía Nacional también alertó de la situación en su cuenta de TikTok el pasado mes de enero de 2025, como podemos ver en el vídeo que adjuntamos a continuación. Uno de los consejos que ofrece para evitar caer en este tipo de estafas es que analicemos la página bien antes de introducir nuestros datos. Algunos aspectos que deberían llamar nuestra atención son la presencia de imágenes de baja resolución o errores ortográficos, por ejemplo.
| Fecha | Acontecimiento | Fuente Oficial |
|---|---|---|
| 24 de octubre, 2024 | INCIBE emite una alerta general en redes sociales sobre los peligros de los códigos QR maliciosos. | Cuenta de X @INCIBE |
| Enero de 2025 | La Policía Nacional publica un vídeo en TikTok con consejos para evitar estafas de QRishing. | Cuenta de TikTok @policia |
| 10 de julio, 2025 | La OCU detecta y alerta sobre una campaña específica de QRishing en puntos de recarga de vehículos eléctricos. | Comunicado en OCU.org |
¿Por qué los cargadores eléctricos son el blanco perfecto?
No es casualidad que los puntos de recarga se hayan convertido en un objetivo prioritario para los ciberdelincuentes. Se trata de una combinación de tres factores:
- Ubicación y falta de vigilancia: Estos cargadores suelen estar en aparcamientos o vías públicas sin supervisión constante, lo que facilita la manipulación de las pegatinas.
- Normalización del pago por QR: Los usuarios se han acostumbrado a este método de pago en los cargadores.
- La prisa del usuario: Los conductores realizan las cargas con prisa y no siempre observan todos los detalles que tienen ante sí.
