La imagen parece convincente: una multa de la Dirección General de Tráfico (DGT), con su membrete oficial, número de expediente, fecha y hasta una supuesta infracción bien redactada. A primera vista, nadie sospecha. Y sin embargo, esta multa no es más que un señuelo. El código QR que incluye dirige al usuario a una página falsa de pago que simula la de la DGT y solicita los datos de la tarjeta. El timo, aunque burdo, es peligroso. Y lo hemos descubierto en la cuenta de Twitter de Banda Ancha, que alertó de este fraude detectado en Málaga.
Este tipo de estafas no son nuevas, pero ahora se han vuelto más sofisticadas y visualmente creíbles. Incluso cuando hay errores gramaticales o inconsistencias —como el importe de la multa reducida (100 €) frente al que se pide pagar (80 €)—, la presión por cumplir y el aspecto oficial del papel pueden empujar a cualquiera a escanear sin pensar. El QR actúa como un caballo de Troya. Uno lo escanea pensando en agilidad, y en segundos ya ha introducido los datos de su tarjeta en una web fraudulenta.
Aunque el enlace fraudulento ya no está activo —al intentar acceder, se muestra un mensaje en cirílico que indica que la página ya no está disponible—, el riesgo sigue muy presente. El phishing a través de QR es solo una variante de una amenaza mucho mayor, y por eso hoy más que nunca conviene entender cómo funciona este tipo de engaño y cómo evitarlo.
Qué es el phishing y por qué sigue funcionando
El phishing es una técnica de fraude digital en la que un atacante suplanta la identidad de una entidad confiable para obtener datos personales o bancarios de la víctima. Lo más habitual es recibir un correo o mensaje que parece legítimo: puede parecer de nuestro banco, de una empresa de paquetería o, como en este caso, de la propia DGT. Lo que busca el atacante es que hagamos clic en un enlace, rellenemos un formulario o descarguemos un archivo infectado.
Lo más inquietante del phishing es que no necesita tecnología muy avanzada para tener éxito. Juega con la urgencia, el miedo y la confianza del usuario. Un aviso de multa, un cobro pendiente o una entrega fallida son cebos efectivos porque nos pillan desprevenidos y con la guardia baja. La mayoría de las personas no se detienen a verificar cada enlace o comprobar la ortografía. Y eso es justo lo que aprovechan los estafadores.
En este caso, el timo incluye varios elementos diseñados para parecer auténticos: logos oficiales, número de expediente, la mención a la Ordenanza ORA… Todo, salvo el dominio del sitio web. Un dominio que no es de la DGT sino uno completamente ajeno (dgtmultamalaga.sbs), que ni siquiera intenta pasar por el original más allá del nombre. Pero si no lo ves al escanear el QR, el peligro ya está hecho.
El código QR: el nuevo caballo de Troya
En la era del móvil, los códigos QR han vuelto con fuerza. Sirven para todo: menús de restaurantes, enlaces a apps, pagos, campañas publicitarias… Su utilidad es indiscutible, pero también lo es su opacidad. Al escanear un QR, no vemos a simple vista adónde nos lleva. Y eso los convierte en una herramienta perfecta para los ciberdelincuentes.
Este nuevo tipo de phishing con QR se conoce como quishing, y se basa en exactamente lo mismo que el phishing tradicional: ganarse tu confianza. Pero lo hace con una interfaz aún más ágil y silenciosa. En vez de un enlace sospechoso en un email, ahora basta con pegar una pegatina en un parabrisas o colarla en una falsa multa para que alguien la escanee directamente desde su móvil.
Además, este tipo de ataque tiene un enorme potencial de expansión. Es barato de ejecutar, difícil de rastrear y muy eficaz. La víctima no necesita escribir nada ni buscar un enlace. Solo escanea. Y la página fraudulenta, como la que descubrimos con Banda Ancha, hace el resto. Incluso imita el aspecto de la pasarela de pago de la DGT e introduce un número de expediente creíble.
Consejos para evitar caer en trampas como esta
Frente a estas nuevas formas de engaño, es fundamental extremar la precaución. Aquí van algunas recomendaciones útiles para detectar y evitar este tipo de fraudes, no solo en el caso de multas falsas, sino en cualquier situación donde se involucren pagos, datos personales o códigos QR:
1. Nunca escanees un QR de origen dudoso. Si te encuentras una multa inesperada en el coche o un QR en una pegatina, desconfía. Especialmente si el QR dirige a una web de pago. Verifica por otro medio: entra en la web oficial (dgt.es), busca el expediente o llama a atención al cliente.
2. Comprueba siempre el dominio. Una vez que escanees un código QR, observa con atención la URL. Si no es el dominio oficial (dgt.es, correos.es, etc.), no introduzcas ningún dato. Los estafadores suelen usar dominios muy parecidos pero con extensiones diferentes (.sbs, .top, etc.).
3. Usa apps oficiales. La mayoría de servicios públicos o de pago tienen aplicaciones propias: miDGT, bancos, apps de recarga de coches eléctricos… Si accedes siempre desde su app, evitas tener que fiarte de códigos o enlaces sueltos.
4. No introduzcas datos sensibles sin certidumbre. Un formulario que pide número de tarjeta, CVV o claves personales debe hacer saltar todas las alarmas. Sobre todo si llegaste a él desde un QR, un SMS o un correo no solicitado.
5. Desconfía de la urgencia. «Paga antes del 31 de julio», «Te quedas sin coche si no pagas ya», «Multa reducida solo 48 h»… Todos estos mensajes buscan activarte emocionalmente. Si algo es tan urgente, tómate un minuto más para verificarlo.
También en los cargadores eléctricos
Este tipo de ataques no se limita a multas. Los coches eléctricos y sus puntos de carga son un entorno vulnerable: muchos usuarios escanean códigos QR en cargadores para iniciar una sesión, acceder a una app o pagar. Si un estafador sustituye ese QR por uno falso, puede llevarte a una web trampa que simule el servicio de recarga. Ya hay precedentes.
Algunos puntos de carga públicos —especialmente en entornos menos vigilados— son susceptibles a este tipo de manipulación. Es tan sencillo como poner una pegatina encima del QR real. El usuario, sin saberlo, accede a una web externa, introduce sus datos de pago, y el fraude se consuma.
Por eso es tan importante confiar solo en puntos de carga que se activen desde apps verificadas (Juicepass, Gow, etc.) o con RFID personal. Si un punto de carga pide el escaneo de un QR fuera de la aplicación oficial, hay que sospechar. Más aún si al hacerlo se abre una pasarela de pago web externa.
La opinión de Autofácil…
Desde Autofácil, creemos que este caso ilustra perfectamente cómo la tecnología mal utilizada puede convertirse en un arma de doble filo. Los QR están en todas partes y su potencial es enorme, pero también lo es su capacidad para enmascarar fraudes. Su apariencia inofensiva y su facilidad de uso son, precisamente, lo que los hace tan peligrosos en manos equivocadas.
Las multas falsas de la DGT son solo la punta del iceberg. El auge del vehículo eléctrico, la digitalización de los trámites y la automatización de pagos hacen que cada vez más conductores estén expuestos a este tipo de engaños. Es necesario un mayor nivel de educación digital y también una mejora en los sistemas de autenticación y verificación por parte de las administraciones y operadores de servicios.
En resumen: si no estás absolutamente seguro de lo que estás escaneando, no lo escanees. Porque un simple gesto puede convertirse en un gran problema. Y lo que parece una multa de tráfico, podría acabar costándote mucho más que 80 euros.
Síguenos en redes sociales
Síguenos en nuestras redes X, Facebook, TikTok e Instagram, o en nuestro canal de YouTube donde te ofrecemos contenidos exclusivos. Y si te apuntas a nuestra Newsletter recibirás las noticias más destacadas del motor.
Recibe nuestras noticias más recientes en tu correo
Te enviamos nuestra Newsletter cada semana con contenido destacado
