QR codes are simple. When you scan one with your phone, it opens a website, form, payment page, menu, or app link without you having to type the address yourself. (ASD)People use them in cafés, parking meters, event check-ins, deliveries, and public notices. Criminals know that a code printed on a sign or stuck over another code can look harmless.

That is where quishing comes in. Quishing means phishing through QR codes. Instead of sending you a suspicious link by email or text, a scammer puts the link inside a QR code and relies on your trust and curiosity to make you scan it. The goal is usually the same as any phishing attack: steal passwords, payment details, personal information, or push you toward downloading something malicious.

So how do you detect a malicious QR code?

1st- look at the context, pressure is one of the oldest phishing tactics

• Is the QR code printed professionally, or does it look like a sticker placed over an existing sign?
• Is it asking for urgent action, such as paying immediately, re-verifying an account, or fixing a problem?

2nd- check the website preview before opening it.

3rd- be cautious with any QR code that asks for sensitive information. A code that leads to a payment page, login page, or form asking for card details, passwords, or identity information deserves extra scrutiny.

4th- avoid downloading apps or files from QR codes in public places.

In Australia, the ASD said it responded to 30 quishing-related incidents targeting Australian organisations in financial year 2023–24, which shows this is not a theoretical risk.(ASD). On 24 April 2025, Northern Beaches Council in New South Wales published a public warning after receiving reports of fraudulent QR code attempts in the area. The notice explained that scammers were using fake QR codes to trick people into making payments, giving up personal information, or downloading malware. (Northern Beaches Council,2024)

The practical lesson is simple: treat a QR code the same way you would treat an unknown link.

Quishing: el phishing escondido en los códigos QR

Los códigos QR son simples. Cuando escaneas uno con tu teléfono, abre una página web, formulario, página de pago, menú o enlace de aplicación sin que tengas que escribir la dirección manualmente. (ASD) Las personas los usan en cafés, parquímetros, registros de eventos, entregas y avisos públicos. Los delincuentes saben que un código impreso en un cartel o pegado encima de otro puede parecer inofensivo.

Ahí es donde entra el quishing. El quishing significa phishing a través de códigos QR. En lugar de enviarte un enlace sospechoso por correo electrónico o mensaje de texto, un estafador coloca el enlace dentro de un código QR y confía en tu curiosidad y confianza para que lo escanees. El objetivo suele ser el mismo que en cualquier ataque de phishing: robar contraseñas, datos de pago, información personal o inducirte a descargar algo malicioso.

Entonces, ¿cómo detectar un código QR malicioso?

Primero: observa el contexto. La presión es una de las tácticas más antiguas del phishing.

• ¿El código QR está impreso de forma profesional o parece una pegatina colocada sobre otro cartel?
• ¿Te pide actuar con urgencia, como pagar inmediatamente, volver a verificar una cuenta o resolver un problema?

Segundo: revisa la vista previa del sitio web antes de abrirlo.

Tercero: ten precaución con cualquier código QR que solicite información sensible. Un código que te lleva a una página de pago, inicio de sesión o formulario que pide datos de tarjeta, contraseñas o información personal merece una revisión adicional.

Cuarto: evita descargar aplicaciones o archivos desde códigos QR en lugares públicos.

En Australia, la ASD informó que respondió a 30 incidentes relacionados con quishing dirigidos a organizaciones australianas durante el año fiscal 2023–24, lo que demuestra que no es un riesgo teórico (ASD). El 24 de abril de 2025, el Northern Beaches Council en Nueva Gales del Sur publicó una advertencia pública tras recibir reportes de intentos de fraude con códigos QR en la zona. El aviso explicaba que los estafadores estaban utilizando códigos QR falsos para engañar a las personas y hacerlas pagar, entregar información personal o descargar malware (Northern Beaches Council,2024)

La lección práctica es simple: trata un código QR de la misma forma que tratarías un enlace desconocido.

References

• ASD: Australian Signals Directorate, Annual Cyber Threat Report 2023–2024: quishing section. https://www.cyber.gov.au/about-us/view-all-content/reports-and-statistics/annual-cyber-threat-report-2023-2024
• Northern Beaches Council, “Be scam aware: Reports of fraudulent QR codes,” 24 April 2025. https://www.northernbeaches.nsw.gov.au/council/news/be-scam-aware-reports-fraudulent-qr-codes