¡Alerta! Estafas con Código QR: Multas Falsas 2026

Los estafadores están enviando mensajes de texto falsos impersonando tribunales estatales de EE.UU., adjuntando imágenes con códigos QR fraudulentos que reclaman multas de tráfico pendientes. Cuando el usuario escanea el código, llega a un sitio phishing que solicita un pago de $6.99 mientras roba datos personales y financieros completos. La campaña comenzó a finales de marzo de 2026 y ya afecta a Nueva York, California, Carolina del Norte, Illinois, Virginia, Texas, Connecticut y Nueva Jersey (según Bleeping Computer).

Qué es el quishing: La evolución del phishing con códigos QR

El quishing es phishing con códigos QR. Toma el ataque tradicional de phishing (haciéndose pasar por una empresa legítima para robar credenciales) y lo adapta a un mundo donde casi nadie lee URLs en los SMS. En vez de un link de texto que dice “haz clic aquí”, el estafador mete un código QR en una imagen (spoiler: muchos no verifican dónde te lleva antes de escanear).

Esto no es nuevo en teoría: hace dos años ya se hablaba de quishing como amenaza potencial, muy en serio dentro de la comunidad de ciberseguridad. Pero ahora, en 2026, pasó de ser “podría pasar” a estar sucediendo en escala real. Los estafadores descubrieron que el QR código es más efectivo que un link porque:

• La gente confía más en una imagen que en un link de SMS (parece “oficial”)
• El escaneo es automático: levantás el teléfono, apuntás, y entra directo sin que leas la URL destino
• No activa los mismos filtros de phishing que un link de texto tradicional
• Es imposible verificar la URL antes de tocar el código (bueno, casi imposible; después vemos cómo)

En 2025, los estafadores de multas y peajes ya estaban activos, pero mandaban links directos en el texto del SMS. La gente filtró rápido (“uh, el tribunal nunca me manda un link así”). Ahora, con el QR código en una imagen que simula un documento oficial, la barrera psicológica es mucho más alta.

La estafa de multas de tráfico: Anatomía completa del scam actual

Ponele que sos de Nueva York, y un día recibís un SMS con una imagen adjunta. La imagen se ve como un documento de juzgado: “Notice of Default” del “Criminal Court of the City of New York”. Dice algo como “This notice constitutes a final and urgent warning regarding an outstanding traffic violation involving your registered vehicle” (en una imagen, no en el texto del SMS).

Hay un código QR en la imagen. La mayoría de la gente lo escanea al toque porque automáticamente pensás “bueno, será del tribunal, mejor veo qué es esto”. El QR te lleva a un sitio que se parece exactamente al portal de tribunales de Nueva York (o California, Texas, donde sea tu estado). Te pide que confirmes tus datos porque “hay una multa pendiente” de $6.99, $7.99, cosas así (un monto bajo deliberadamente, para que la gente pague sin pensarlo).

Cuando ingresás los datos (nombre completo, domicilio, teléfono, email) y después los datos de la tarjeta de crédito (según TechNadu, los sitios phishing capturan todo), el servidor estafador tiene tu información completa. No está pagando nada al tribunal: esa tarjeta va a estar usado para fraude en cuestión de horas.

La campaña abarca Nueva York, California, Carolina del Norte, Illinois, Virginia, Texas, Connecticut y Nueva Jersey. Los estafadores están usando nombres de tribunales locales reales (Criminal Court, Court of Appeals, DMV, etc.) para que se vea más creíble. El timing es raro por esto: empezó apenas hace pocas semanas (finales de marzo 2026), y ya está disparado. Tema relacionado: cómo proteger tus datos personales y credenciales.

Técnicas de evasión: Por qué los CAPTCHA en un scam

Acá viene lo interesante: los sitios phishing en esta campaña incluyen CAPTCHA (“verificá que no sos un bot”). ¿Para qué? Para bloquear análisis automatizado. Las empresas de seguridad usan bots que visitan URLs sospechosas y analizan si es phishing. Si hay CAPTCHA, el bot se detiene y no puede analizar la página. El estafador se gana 24-48 horas extra antes de que los servicios de seguridad bloqueen el sitio.

Además, los scammers usan cadenas de redirecciones intermediarias: el QR te lleva a un sitio A (que parece oficial), ese sitio te redirige a sitio B (donde ingresás datos), y sitio B probablemente redirija a sitio C (para registrar logs en servidores del atacante). Cada redireccionamiento es una capa de ofuscación que ralentiza la detección.

La copia visual es impresionante. El sitio phishing copia colores, logos, fuentes y estructura de los portales oficiales de DMV y tribunales. A menos que mires muy de cerca la URL (cosa que casi nadie hace cuando venís desde un escaneo de QR), no vas a notar que algo está mal.

Qué datos roban y cómo impactan en tu seguridad

El formulario del sitio phishing pide información personal identificable (PII) completa: nombre completo, domicilio, teléfono de contacto, email. Después pide números de tarjeta de crédito (números completos, fecha de vencimiento, CVV).

Con eso, el estafador tiene todo lo que necesita para:

• Fraude de tarjeta de crédito directo: compras en línea, transacciones, cargos recurrentes
• Robo de identidad: solicitar crédito a tu nombre, abrir cuentas bancarias falsas, solicitudes de préstamo
• Acceso no autorizado a cuentas: si el email está vinculado a cuentas de redes sociales, email, banca en línea, etc.
• Venta de datos en dark web: tu PII + datos financieros se venden a otros estafadores por entre $20-50 USD
• SIM swapping: con el teléfono y los datos, el atacante puede contactar a tu proveedor móvil, resetear tu número, y acceder a tus cuentas de 2FA por SMS

El daño no es solo por los $6.99 de la multa (que nunca fue real). Es el acceso completo a tu identidad durante los próximos meses o años.

Señales de alerta: Cómo identificar un código QR fraudulento

No todos los códigos QR son iguales. Hay señales visuales que te pueden alertar:

• QR pegado sobre otro código: Los estafadores a veces reemplazan códigos legítimos con stickers con QR falsos. Si ves capas de código (un QR que parece impreso encima de otro), es sospechoso.
• Impresión de mala calidad: Un QR real de una autoridad gubernamental va a estar bien impreso. Si la imagen es pixelada, borrosa, o tiene artefactos raros, desconfía.
• Ubicación rara: Códigos QR en lugares inesperados (un SMS de un tribunal, un aviso en una parada de autobús) ameritan verificación extra.
• Mensaje urgente: “Pago requerido AHORA”, “Su cuenta será suspendida”, “Violación de tráfico sin pagar” — son triggers clásicos de phishing. Los tribunales reales no amenazan en SMS.

La verificación más confiable es técnica: si podés, mantené el dedo sobre el código QR sin soltar (algunos teléfonos muestran la URL destino en una pequeña vista previa). Si ves un dominio raro (ejemplo: “quort-ny.com” en vez de “courts.ny.gov”), no lo toques. En implementar protocolos de seguridad en tu empresa profundizamos sobre esto.

Medidas de protección contra quishing y phishing QR

Defenderte requiere cambiar cómo usás códigos QR:

• Desactivá la apertura automática: En iOS, podés desactivar la cámara rápida desde la pantalla de bloqueo. En Android, hay aplicaciones de escaneo que te muestran la URL antes de abrir.
• Usá escáneres QR seguros: Apps como “QR Scanner” (que tienen vista previa integrada) te muestran dónde va a ir el link antes de abrirlo.
• Verificá la URL antes de ingresar datos: Si el sitio dice “oficialmente del tribunal” pero la URL es “courts-ny-verify.com”, no ingreses nada. La URL debe ser el dominio oficial (.gov si es gobierno).
• Mantené tu dispositivo actualizado: iOS y Android lanzan patches de seguridad regularmente. Los actualizás, te protegés de exploits cero-day.
• Activá autenticación 2FA donde puedas: En email, banca en línea, redes sociales. Si el estafador roba tus credenciales, al menos necesita un segundo factor para entrar.
• No confíes en SMS de autoridades: Los tribunales, DMV, y gobiernos no envían SMS con links ni códigos QR pidiendo pagos. Nunca. Llama directamente al número oficial si dudás.

Ojo con esto: si tu teléfono es viejo (Android 6 o anterior, iOS 12 o anterior), no recibís los últimos patches de seguridad. Considerá un upgrade. La diferencia entre un dispositivo actualizado y uno viejo es la diferencia entre “probablemente estés seguro” y “es solo cuestión de tiempo”.

Plan de acción inmediato si caíste en una estafa de quishing

Si ya escaneaste, ingresaste datos y diste números de tarjeta, actuá ahora (no mañana):

1. Cambiá todas tus contraseñas críticas: Email principal, banca en línea, PayPal, cualquier cuenta con acceso a dinero. Hacé desde una computadora diferente o teléfono diferente si es posible (en caso de que tu dispositivo esté comprometido).
2. Activá 2FA en todo: Si no lo tenías, activalo ahora. Si ya lo tenías, verificá que no cambió el método (a veces los atacantes resetean 2FA a SMS y crean una cuenta de recuperación con su email).
3. Llamá a tu banco/emisor de tarjeta: No mandés email, no uses el chat de la app (podría estar interceptado). Llamá al número de atrás de tu tarjeta y reportá un fraude potencial. Piden que bloqueen la tarjeta y emitan una nueva.
4. Monitorea tus cuentas las próximas 24-48 horas: Checkea transacciones en tu tarjeta cada 4-6 horas. Si ves cargos raros, reportá al banco inmediatamente.
5. Bloquea tu tarjeta si es necesario: Si ves cargos no autorizados, no esperes. Bloquea la tarjeta del banco directamente.
6. Denunciá a autoridades locales: En EE.UU., reportá al FBI (ic3.gov), a la FTC (reportfraud.ftc.gov), y al attorney general de tu estado. En Argentina, podés denunciar a la PFA (sitio.pfa.gob.ar) o a la Superintendencia de Servicios Financieros.
7. Revisá tu reporte de crédito: USA: solicita gratis en annualcreditreport.com. Argentina: consultá en Banco Central (verifícalo.bcra.gov.ar). Si ves actividad rara (cuentas nuevas, préstamos solicitados), colocá un “fraud alert” que obliga a los acreedores a verificar tu identidad antes de otorgar crédito.

Lo importante es la velocidad. Cuanto antes reportes, más chances de que bloqueen los cargos antes de que se procesen.

Errores comunes que la gente comete con códigos QR

1. Asumir que si llegó por SMS oficial, es real

Falso. Los números de SMS pueden ser suplantados. Un mensaje que parece venir de “+1 212 (New York)” podría venir de cualquier lado del mundo. La suplantación de SMS es barata y fácil de hacer.

2. Escanear el código sin verificar la URL primero

Es como abrir un archivo adjunto de email sin chequear si viene de quién dice que viene. Con códigos QR, casi nadie verifica. Eso es exactamente lo que los estafadores explotan.

3. Confiar en que el sitio “se ve oficial”

La copia visual es trivial en 2026. Tomar screenshots del portal oficial, cambiar unos pixeles, y subir un clon es trabajo de 2-3 horas. El único indicador confiable es la URL (y aún así, un dominio que dice “courts-ny-official.com” no es suficiente; tiene que ser “.gov”). Cubrimos ese tema en detalle en proteger tu negocio contra fraudes en línea.

4. Pensar que “es solo $6.99, qué importa”

La tarjeta de crédito que ingresas no está siendo cargada por $6.99. Eso es carnada. Los $6.99 son un placeholder. El atacante tiene tus datos completos y va a hacer fraude serio durante los próximos meses. El costo real es potencialmente miles de dólares en robo de identidad.

Preguntas Frecuentes

¿Qué es exactamente el quishing?

Quishing es phishing que usa códigos QR como vector de ataque en lugar de links de texto. El atacante envía una imagen con un QR que redirige a un sitio phishing. Es efectivo porque la gente confía más en imágenes que en links, y el escaneo es automático sin verificación.

¿Cuántas personas ya fueron estafadas por esto en EE.UU.?

No hay cifras públicas oficiales, pero reportes de múltiples distritos de fiscales estatales (Maryland, California, Carolina del Norte) confirman cientos de reportes desde finales de marzo 2026. Los tribunales de Nueva York emitieron alertas de fraude específicamente por esta campaña.

¿El atacante realmente cobra los $6.99 o es solo una trampa?

Es una trampa. Los $6.99 es un monto bajo deliberado para que la gente crea que no es una estafa. El verdadero objetivo es tu información completa (nombre, domicilio, teléfono, email, números de tarjeta). Una vez que la tiene, el atacante hace fraude a mayor escala: compras en línea, solicitudes de crédito, robo de identidad.

¿Puedo verificar si el tribunal realmente tiene una multa pendiente contra mí?

Sí. No hagas click en el link del SMS. En su lugar, abrí un navegador, buscá el número de teléfono oficial del tribunal o DMV de tu estado, y llamá directamente. Preguntá si hay una multa registrada contra tu domicilio o número de patente. Si te dicen que no, fue una estafa.

¿Cómo reporto esta estafa una vez que la detecté?

USA: IC3.gov (FBI), reportfraud.ftc.gov (FTC), y el attorney general de tu estado. Argentina: PFA (denuncias.pfa.gob.ar) o el sitio oficial de justicia de Argentina. Incluí screenshots del SMS y la URL a donde apuntaba el código.

Conclusión

El quishing no es una amenaza futura hipotética; está pasando ahora (abril 2026) en múltiples estados de EE.UU. Los estafadores descubrieron que un código QR falso en una imagen que simula un documento oficial es más efectivo que un link de texto tradicional.

Lo concreto: no escanees códigos QR de SMS sin verificar la URL primero, no confíes en que “se ve oficial”, y si recibís un SMS de un tribunal pidiendo pago, llamá directamente al número oficial (no al que está en el SMS). El costo de ser cauteloso (30 segundos extra verificando) es infinitesimal comparado con el daño de caer en una estafa de identidad.

Si caíste, actuá rápido: cambia contraseñas, bloquea tarjetas, reporta al banco y a las autoridades. Cuanto antes, mejor.

Fuentes

• Bleeping Computer — Traffic violation scams switch to QR codes in new phishing texts
• TechNadu — Traffic Violation Scams Targeting US Residents Adopt QR Code Phishing Tactics
• Maryland Courts — Press Release on Traffic Violation Scam Alert (March 2026)
• Argentina.gob.ar — Cómo protegerse al utilizar un código QR