Tan pronto como la gente empieza a familiarizarse con un determinado tipo de estafa, los delincuentes recurren a nuevas tácticas para seguir robando dinero. Ahora que la gente ha aprendido a desconfiar de los enlaces que aparecen en los mensajes de texto, los estafadores han cambiado de estrategia, y en 2026 el «nuevo enlace» suele ser un código QR oculto en un aviso falso.
La última variante de las viejas estafas relacionadas con peajes impagados e infracciones de tráfico resulta especialmente engañosa, ya que parece más oficial que un simple mensaje con una URL. En lugar de un enlace sin formato, las víctimas reciben una imagen de una notificación judicial o de una agencia y se les indica que escaneen el código QR para pagar una multa relativamente pequeña.
Esa pequeña cantidad es parte del truco. Parece lo suficientemente barata como para pagarla rápidamente, y precisamente por eso funciona la estafa. Estos delincuentes no quieren que te lo pienses demasiado.
Los elementos básicos del guion en estas campañas más recientes son los mismos: urgencia, autoridad y un pago mínimo pensado para sortear las dudas.
BleepingComputer informó de que a los destinatarios se les indicaba que tenían una infracción de tráfico pendiente y que debían actuar de inmediato, mientras que Cyber Safety Watchdog destacó la evolución de esta estafa relacionada con los peajes.
Ya sea que el mensaje haga referencia a peajes, aparcamiento o infracciones de tráfico, lo importante es que se hace pasar por una autoridad gubernamental y presiona al destinatario para que tome una decisión precipitada sin tomarse el tiempo de verificar nada.
Por qué los códigos QR ayudan a los estafadores
Los códigos QR proporcionan a los estafadores una capa adicional de ocultación. En lugar de un enlace de texto visible, se incita a la víctima a escanear un código integrado en una imagen, lo que reduce las posibilidades de que se detecte de inmediato.
Los estafadores saben que la gente ha aprendido a detectar enlaces evidentes, dominios sospechosos y correos electrónicos mal redactados. Por eso, ocultan el contenido malicioso en imágenes, avisos y códigos QR, y luego lo disfrazan todo con el lenguaje de las autoridades oficiales.
En la campaña descrita por BleepingComputer, el código QR enviaba primero a las víctimas a un sitio web intermediario que les presentaba un CAPTCHA y, a continuación, las redirigía a una página de phishing que se hacía pasar por el Departamento de Vehículos Motorizados o por un organismo estatal similar.
Ese paso adicional del CAPTCHA sirve para ralentizar cualquier análisis automatizado. El objetivo final es hacerse pasar por una institución de confianza, crear una sensación de urgencia, cobrar una pequeña comisión y robar los datos personales y financieros en la pantalla de pago.
En ambas campañas, los sitios web falsos solicitan nombres, direcciones, números de teléfono, direcciones de correo electrónico y datos de tarjetas de crédito. Una vez introducidos esos datos, la estafa puede derivar en robo de identidad o fraude con tarjetas, y los datos pueden revenderse a otros delincuentes para cometer nuevos fraudes.
El impacto de las estafas es enorme
El Informe Anual del IC3 del FBI correspondiente a 2025 deja claro que las estafas no son un fenómeno secundario, sino el fenómeno principal. El IC3 recibió más de un millón de denuncias en 2025, y las pérdidas declaradas superaron los 20 800 millones de dólares.
Solo el phishing y el spoofing sumaron casi 200 000 denuncias, mientras que la suplantación de identidad de organismos públicos alcanzó las 32 424 denuncias y supuso pérdidas declaradas por valor de casi 800 millones de dólares.
Esas cifras son importantes porque la estafa de peajes se inscribe plenamente en el mismo ecosistema que el phishing, la suplantación de identidad y el fraude en los pagos. No se trata de una molestia aislada, sino de una clara señal de que el fraude cibernético forma parte de una red más amplia de delincuencia organizada.
Cómo mantenerse seguro
Los estafadores se adaptan a nuestros hábitos más rápido de lo que la gente espera. Cada vez que se difunde ampliamente una medida de protección, los delincuentes modifican ligeramente su modus operandi.
Por eso, estos mensajes deben tratarse con el mismo recelo que cualquier otra solicitud de dinero no solicitada.
- Comprueba el número de teléfono del que procede el mensaje de texto. Algunas estafas eran fáciles de descartar porque procedían de números de teléfono fuera de Estados Unidos.
- Busca el sitio web concreto en el que se haya producido la supuesta infracción y compara el nombre de dominio. A veces solo hay una pequeña diferencia, así que revísalo con atención.
- Si crees que la infracción es posible porque efectivamente has circulado por esa zona, consulta la página web oficial del servicio de peaje o llama a su número de atención al cliente.
- Si has decidido pagar, comprueba que has recibido la confirmación del pago. Las agencias oficiales envían una confirmación tras cobrar los pagos. Si no la recibes, llámalas para verificarlo y toma las medidas oportunas si crees que has pagado a estafadores. Ponte en contacto con tu banco de inmediato y con el Centro de Denuncias de Delitos en Internet del FBI (IC3) enic3.gov. Asegúrate de incluir el número de teléfono desde el que se envió el mensaje y la página web que aparece en él.
- No interactúes con el estafador de ninguna manera. Cualquier reacción le proporciona información, aunque solo sea para saber que el número de teléfono está en uso.
- Si recibes un mensaje sospechoso, Scam Guard puede ayudarte a determinar si un mensaje de texto, un correo electrónico u otra forma de comunicación es una estafa y guiarte a lo largo del proceso.
- Utiliza una protección antimalware actualizada y en tiempo real, que bloqueará los dominios maliciosos conocidos.
Seamos realistas, una ventana de incógnito tiene sus limitaciones.
Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad.
