Blog
Investigación·24 de abril de 2026·8 min de lectura

El código QR del restaurante no siempre es lo que crees.

Una pegatina colocada sobre la original, y el menú del día se convierte en una página de pago falsa. Pasamos un mes observando el fenómeno en Lyon, París y Burdeos. Lo que aprendimos, y cómo dejar de caer en la trampa.

ME
Mohamed ESSID
Fundador — Trasimène

La técnica de la pegatina

El método es de una simplicidad desconcertante. Un delincuente entra en un restaurante, localiza los soportes con códigos QR colocados sobre las mesas o en la entrada, y pega encima una pegatina recién impresa, con su propio código QR. Toda la operación lleva menos de treinta segundos por mesa.

La página falsa que se abre es una réplica casi perfecta de una página de pedido o de pago: los logotipos correctos, los colores corporativos correctos, a veces incluso el nombre del restaurante. El cliente, convencido de estar consultando el menú del día, introduce los datos de su tarjeta bancaria en un sitio web fraudulento.

En 2025 y a principios de 2026 se documentaron casos en Lyon (Presqu'île, Confluence), París (distritos 11 y 18) y Burdeos (barrio de Saint-Pierre). La técnica crece con rapidez: según la plataforma francesa contra la ciberdelincuencia Pharos, las denuncias de phishing por código QR aumentaron un 340 % entre 2024 y 2026.

Los restaurantes que adoptan menús digitales sin protección física (códigos QR grabados, soportes con cerradura) son objetivos prioritarios. Los establecimientos pequeños que imprimen ellos mismos sus soportes en papel corriente son los más vulnerables.

Cómo detectarlo

Antes de escanear, inspecciona físicamente el código QR. Las pegatinas falsas suelen estar ligeramente descuadradas, con bordes que sobresalen o una calidad de impresión distinta a la del resto de los materiales del restaurante.

Utiliza un lector de QR que muestre la URL completa antes de abrir el enlace. La app de Cámara nativa de iOS y los lectores integrados de Android suelen mostrar la URL: tómate un momento para leerla. Los atacantes recurren al typosquatting: 'carte-restaurant-lyon.com' en lugar del sitio web oficial del local.

Desconfía especialmente si la página que se abre solicita los datos de la tarjeta bancaria solo para ver un menú. Ningún restaurante legítimo condiciona el acceso a la carta a un pago.

Si tienes dudas, pídele directamente a un miembro del personal que te muestre la carta o el código QR que aparece en su panel de administración, no el del soporte de la mesa.

Lo que hace Trasimène

Trasimène incluye protección de códigos QR en tiempo real. Cada URL extraída de un código QR se coteja con varias bases de datos de phishing (Google Safe Browsing, las fuentes propias de Trasimène) antes de que se cargue la página.

Si la URL se reconoce como sospechosa o pertenece a un dominio registrado recientemente con características típicas del phishing, la página se bloquea y aparece una alerta, con la posibilidad de denunciar el código QR directamente desde la app.

Esta protección funciona por completo en segundo plano, sin necesidad de ninguna acción manual. Tú escaneas con normalidad; Trasimène verifica en silencio.

Si tienes dudas, pídele al restaurante que te muestre el código QR en su panel de administración o en un documento oficial, no en el soporte de la mesa.

La vigilancia sigue siendo la primera línea de defensa. Un vistazo rápido antes de escanear, leer la URL antes de escribir, hacer una pregunta cuando surja la duda: estos hábitos sencillos bastan para frustrar la gran mayoría de los ataques por código QR. Y con la app de seguridad adecuada, no hay motivo para no automatizarlos.

Fuentes
  1. Cybermalveillance.gouv.fr (French national cybersecurity assistance platform), "Le « quishing » : l'hameçonnage par QR code" (2024)
  2. NCSC (UK National Cyber Security Centre), "QR Codes – what's the real risk?"
  3. National Cyber Security Centre (Switzerland / NCSC-CH), "Be careful when scanning: the hidden dangers of tampered QR codes" (2025)
  4. ENISA (European Union Agency for Cybersecurity), "ENISA Threat Landscape 2025" (October 2025)
Trasimène — Seguridad móvil

Protégete contra el phishing por QR

Descargar Trasimène →
Artículos relacionados
Volver al blog