El cliente entra al local, se sienta, escanea el código QR de la mesa con su celular y mira la carta. Ese flujo es rutina desde la pandemia. La diferencia en 2026 es que el QR no siempre lleva al menú. A veces lleva a una página falsa que captura datos del teléfono o pide credenciales bancarias. Y el dueño del local no se entera hasta que un cliente reclama.
El SERNAC publicó una alerta concreta sobre esta modalidad, La Tercera explicó el fenómeno con el nombre técnico de "quishing" y The Clinic había documentado el primer caso chileno desde 2023. El problema dejó la fase de rumor y entró a la operación diaria de un restaurante.
Quishing en restaurantes: lo que tienes que saber
- El atacante pega un sticker con un QR falso encima del QR real de la mesa.
- El cliente escanea sin notar la diferencia y abre una página clonada.
- La página falsa puede pedir datos bancarios, instalar software malicioso o cobrar un consumo inflado.
- Detectar a tiempo depende de una inspección visual rápida al abrir el local.
- Si tu QR es dinámico, regeneras el código y bloqueas la página falsa al instante. Si es estático, tienes que reimprimir.
Qué es el quishing y por qué te afecta como dueño
Quishing es una variante del phishing tradicional. En vez de un correo con link sospechoso, el cebo viene en un código QR físico. La técnica se popularizó en mercados grandes durante 2023, llegó a Chile el mismo año y en 2026 ya tiene cobertura de medios y alerta de la autoridad.
La modalidad más común en restaurantes opera así. El atacante imprime un sticker del tamaño exacto del QR original, idéntico en colores y márgenes, pero apuntando a una URL distinta. Entra al local como cliente, se sienta, despega disimuladamente el QR genuino y pega el suyo encima. Sale antes de pedir. Cualquiera que escanee esa mesa los próximos días termina en la página falsa.
El daño cae sobre el cliente que entrega datos, pero la queja entra al local. El dueño se entera por una llamada enojada, una reseña negativa en Google o un reclamo en SERNAC. Para el comensal, el responsable visual es el restaurante, no el delincuente que pegó el sticker.
Cómo opera el fraude paso a paso
El flujo típico que describe SERNAC y han confirmado distintos peritos en seguridad informática chilenos sigue esta secuencia:
- Identificación del local. El atacante elige un restaurante con QR visible en cada mesa, idealmente sin lámina protectora.
- Réplica visual. Imprime un sticker del mismo tamaño del QR original con un código que apunta a una URL similar a la del local (a veces con dominios tipo
buenu-cl.tu-menu.compara confundir). - Suplantación física. Llega al local como cliente, ocupa una mesa, espera el momento de menor flujo de garzones y reemplaza el QR.
- Espera pasiva. El sticker queda en la mesa horas o días. Cada cliente que escanea cae en la página falsa.
- Captura de datos. La página falsa puede pedir teléfono, número de tarjeta, credenciales bancarias o iniciar la descarga de una app maliciosa.
- Cobro o robo. El atacante usa los datos en otro lugar o vacía la cuenta.
El cliente promedio no nota la diferencia porque el QR original se ve casi idéntico. La detección queda en manos del local.
Por qué la responsabilidad cae sobre tu local
Hay tres consecuencias que un dueño no puede ignorar.
Reputación. Una reseña que dice "me clonaron la tarjeta después de escanear el QR del restaurante X" pesa mucho más que una sobre comida fría. Google la deja visible y otros clientes la leen antes de elegir dónde ir.
Reclamos al SERNAC. Aunque el local no haya causado el fraude, el cliente afectado tiene derecho a reclamar. La sucursal responde, abre proceso, pide explicaciones. Cada reclamo consume tiempo administrativo del dueño.
Pérdida de confianza para escanear. Después de un caso conocido en el barrio, los clientes se vuelven cautos con cualquier QR de mesa. Eso afecta a todos los locales, no solo al que tuvo el incidente.
Cinco formas de proteger el QR de tu mesa
Las medidas no son caras. Son hábito y materiales correctos.
1. Inspección visual al abrir el turno. Antes del primer cliente, alguien del local revisa cada mesa y compara los QR con una versión de referencia (foto guardada en el celular del encargado). Lleva dos minutos. Detecta cualquier sticker pegado encima.
2. Lámina o vinilo protector. Imprimir el QR sobre papel adhesivo desnudo facilita que se pegue otro encima. Una lámina termoadherida, un cristal acrílico encima o un vinilo que cubra toda la cara visible bloquea la suplantación física. El costo por mesa es bajo y dura años.
3. Verifica el dominio antes de imprimir. Cuando alguien escanea tu QR, debería ver tu dominio claro (por ejemplo, buenu.cl/tu-restaurante). Si la URL muestra subdominios extraños o redirecciones, el QR no sirve. Algunas plataformas usan acortadores que el cliente no puede verificar a simple vista.
4. QR dinámico, no estático. Un QR estático apunta a una URL fija e impresa. Si el atacante pega otro encima, el original sigue ahí pero nadie lo escanea. Un QR dinámico apunta a un shortcode que el dueño puede invalidar y regenerar desde el panel sin reimprimir el sticker. Si tu plataforma genera QR dinámico, recuperas el control en minutos. Si es estático, hay que reimprimir, repegar y volver a abrir.
5. Cartelito visible en la mesa. Un letrero pequeño que diga "Si escaneas el QR y no aparece nuestro menú, avísanos" cumple dos funciones. Educa al cliente y disuade al atacante.
QR estático vs QR dinámico: la diferencia técnica
La diferencia es operacional. Un QR estático contiene la URL final dentro del propio código. La impresión es la URL. Si quieres cambiarla, hay que generar otro QR, imprimirlo y pegarlo de nuevo en cada mesa.
Un QR dinámico contiene un shortcode. Ese shortcode redirige a la URL real desde un servidor que el dueño controla. Si el shortcode se invalida, todos los códigos físicos pegados en mesas dejan de funcionar al mismo tiempo. Si se regenera con otra URL, todos apuntan al destino nuevo.
Para el caso de quishing, el QR dinámico tiene una ventaja directa. El atacante puede pegar otro QR encima del tuyo, pero si tú detectas la suplantación, regeneras el shortcode original y el sticker falso pierde sentido. La página falsa sigue existiendo, pero ningún cliente que escanee tu QR genuino llega ahí.
Las plataformas chilenas se dividen en dos grupos según este criterio. ChileQR vende QR físicos estáticos. QrCarta y BuenaCarta combinan ambos modelos. Buenú genera QR dinámico con shortcode propio en el dominio buenu.cl. Esa diferencia técnica deja de ser detalle cuando aparece un caso de fraude en el barrio.
Qué hacer si descubres una suplantación
Si una inspección o un reclamo de cliente revela que el QR de una mesa fue cambiado, los pasos son cuatro:
Retira el sticker falso de inmediato. No lo botes. Guárdalo en una bolsa con la fecha y el número de mesa. Sirve como evidencia.
Saca foto al sticker antes de tirarlo y al QR genuino que estaba debajo. Comparalas. La diferencia visual a veces es mínima, pero puede ayudar al peritaje si después llega una denuncia.
Si tu QR es dinámico, regéneralo desde el panel. Eso anula cualquier copia que el atacante haya distribuido en otras mesas o locales.
Reporta a SERNAC y a Carabineros. SERNAC abre procedimiento por fraude al consumidor. La denuncia policial deja constancia formal y ayuda a que peritajes posteriores tengan base.
Si el local emite boleta electrónica, el Servicio de Impuestos Internos no se involucra en este tipo de fraude porque no afecta directamente la emisión tributaria. Pero el local sí debe informar al cliente afectado para que actúe en bancos y SERNAC.
Preguntas frecuentes
¿Cuál es la diferencia real entre quishing y phishing común?
El phishing tradicional llega por correo, mensaje de texto o redes sociales con un link. El quishing llega por código QR físico o digital. La técnica de engaño es la misma. El vector de entrada cambia. En restaurantes, el quishing es más efectivo porque el cliente escanea sin pensar.
¿Cómo distingo un QR genuino de uno falso a simple vista?
Visualmente es muy difícil. La defensa pasa por el contexto. Si el QR está pegado sobre algo que parece otro sticker debajo, hay sospecha. Si los bordes no calzan con el resto del diseño de la mesa, hay sospecha. La forma definitiva es escanear con la cámara y verificar que el dominio que aparece coincide con el del local.
¿Tengo responsabilidad legal si un cliente sufre un fraude por un QR pegado en mi mesa?
Depende del nivel de diligencia que el local pueda demostrar. Si hubo inspección visual regular, lámina protectora y cartel informativo, el local actuó con cuidado razonable. Si no había ninguna medida, la exposición es mayor. Conviene consultar con un abogado de consumo antes de responder formalmente a un reclamo.
¿Las plataformas de carta digital chilenas pueden detectar suplantación?
No directamente. La plataforma sabe cuando alguien entra a tu link, pero no sabe si el cliente venía desde tu QR original o desde uno suplantado en otra dirección. La detección física sigue siendo del dueño. La regeneración del código, en cambio, sí depende de la plataforma. Las que ofrecen QR dinámico permiten anular y volver a apuntar en minutos.
¿Cuánto cuesta una lámina protectora para QR de mesa?
El rango común está entre $300 y $1.500 CLP por mesa según el material. Una lámina termoadherida sale más barata por unidad. Una placa acrílica encima cuesta más pero protege también del derrame de bebidas y dura años.
¿El SERNAC responde rápido cuando hay un caso de quishing?
SERNAC tiene canales formales de reclamo en línea y procesos definidos. La respuesta inicial suele llegar en días. La resolución completa puede tardar semanas. Para el local, lo prioritario es responder rápido al cliente afectado y dejar registro interno, no esperar a que SERNAC actúe.
¿Qué pasa si el local cambia de plataforma de carta digital después de un fraude?
Si la nueva plataforma genera QR dinámico, el código pegado en la mesa se invalida y deja de funcionar. Cualquier copia que el atacante hubiera reproducido pierde efecto. Si la nueva plataforma genera QR estático, hay que reimprimir y repegar en cada mesa.
¿Vale la pena tener un QR de respaldo en otra parte del local?
Sí. Una versión visible en el mostrador, en la caja o impresa al final de la boleta da al cliente una segunda referencia. Si ve algo raro al escanear el de la mesa, puede comparar con la otra fuente y avisar.
El QR de tu mesa es un activo del local. Cuidarlo es operación, no opcional. La parte técnica se resuelve eligiendo bien la plataforma que lo emite. La parte física se resuelve con tres minutos al abrir el turno y un material protector que cuesta menos que un café.
— buenu.cl