Un enlace HTTPS directo a un sitio propio de Abundera. Sin acortadores, sin redirecciones. Veredicto ideal: Despejado, con mutabilidad estática y un umbral bajo de mutabilidad del servidor de destino.
https://qr.abundera.ai/
Defensa contra quishing · Seguridad para QR, URL y acortadores
No confíes en un QR hasta que haya sido despejado.
Un código QR es un desconocido que te entrega un sobre. Lo mismo vale para cualquier URL corta: un bit.ly, un t.co, un enlace en un mensaje. Abrirlo sin verificar puede llevarte a una página de robo de credenciales, una trampa WiFi abierta, una transacción vaciadora de billetera o un intent de Android que instala malware. Trazamos la cadena, inspeccionamos el destino y te decimos quién puede cambiarlo después de imprimir el QR, la pregunta que determina si una pegatina de parquímetro, una URL corta reenviada, un menú de restaurante o un volante MFA corporativo son realmente seguros.
Sin registro ni cuenta Payload nunca persistido Decodificación por cámara permanece local Apps para Mac, Windows, iOS y Android próximamente
Compartir esta herramienta · o guarda un atajo para volver
Escanea un código QR con tu cámara, sube una imagen, pega una imagen o pega texto decodificado.
La cámara y la decodificación de imágenes ocurren en tu navegador. Solo el texto decodificado se envía a nuestro analizador.
Configuración del escáner
Descargando decodificador mejorado… 0%
Historial de escaneos
Almacenado solo en este dispositivo, nunca enviado a nuestros servidores. Los últimos 25 escaneos; los más antiguos se eliminan automáticamente. El historial de escaneos sincronizado en la nube (entre dispositivos, 30 días) está en la hoja de ruta para los niveles Personal+.
Míralo en acción
Toca «Probar este escaneo» para ejecutarlo aquí, o apunta la cámara de tu teléfono al QR: se enruta a través de nuestro escáner y el veredicto aparece en tu teléfono. No necesitas visitar nada antes.
Un QR que pasa por nuestro propio acortador antes de llegar al destino final. El veredicto muestra quién puede cambiar el destino después de la impresión, el eje de mutabilidad que ningún otro escáner revela.
https://aqr.net/demo-walmart
Un enlace que se resolverá en un país distinto al tuyo (el JS intercambia el destino tras detectar tu región). Muestra el chip de país por salto: una cadena que cruza fronteras de forma inesperada es una señal de confianza más fuerte que cualquier salto individual.
https://www.bundestag.de/
Google mantiene esta URL específicamente como referencia de prueba de Safe Browsing. Está clasificada como SOCIAL_ENGINEERING por Safe Browsing, útil para demostrar que el agregador de reputación y la escalada de veredictos funcionan, sin enlazar a un sitio de phishing real.
https://testsafebrowsing.appspot.com/s/phishing.html
Cómo funciona
- 1
Decodificar
Tu navegador decodifica el QR localmente (jsQR). La imagen nunca sale de tu dispositivo. Nosotros solo vemos el payload textual.
- 2
Despacho
El payload se clasifica por esquema URI, prefijo de formato estructurado o heurística de contenido en una de 48 categorías de análisis que en conjunto reconocen 222 variantes de payload: URL HTTP (con decenas de reconocedores específicos por host), WiFi, vCard, telefonía, correo, intent de Android, criptomonedas, datos con dirección de contenido, datos en línea, calendario, geo, emparejamiento Bluetooth, incorporación Matter, pago de comerciante EMV (PIX, PayNow, PromptPay, UPI y más de 30 esquemas nacionales), configuración WireGuard, Smart Health Card, activación eSIM, emparejamiento WalletConnect, passkey FIDO híbrido, esquema bloqueado o texto plano. Cada categoría va a su analizador dedicado.
- 3
Rastrear + clasificar
Para URL HTTP, trazamos la cadena de redirección a través de servicios de redirección (Bitly, Linktree, QR Tiger y ~80 más), registramos los intermediarios por salto, clasificamos la mutabilidad (estática / dinámica-simple / dinámica-encadenada / intersticial-publicidad / cíclica) y atribuimos el control a cada operador de servicio de redirección. En paralelo, revisamos el destino en Google Safe Browsing y URLhaus.
- 4
Unificar
Componemos una forma de veredicto única invariante entre tipos de payload:
threat_class,mutability,chain,attribution,sub_payloads,disclosureen lenguaje natural. Los sub-payloads incrustados en un padre (URL en un campo NOTE de vCard, SSID con enlace, etc.) se despachan de forma recursiva.
Lo que detectamos que las herramientas de solo URL no ven
Los escáneres de amenazas de tipo URL cubren una de las 48 categorías de payload que puede contener un QR, y solo un reconocedor dentro de la categoría URL. Nosotros reconocemos 222 variantes de payload en las 48 categorías. Un aperitivo a continuación; la lista completa y la hoja de ruta de Tier 2 están en la página de cobertura.
Cadena de redirecciones y mutabilidad
Rastrea cada salto. Detecta cadenas de Bitly y Linktree. Identifica los operadores de servicios de redirección. Muestra las partes que pueden cambiar el destino después de la impresión.
QRs de configuración WiFi
SSID y cifrado analizados y normalizados. Redes abiertas, WEP débil u ocultas marcadas. Decodificación de confusables para que los SSID similares aparezcan en el resultado.
Vaciadores de billeteras cripto
Validación de formato de dirección y checksum por cadena. Detección de selectores de función EVM (approve, setApprovalForAll, permit). Reputación en Chainabuse.
Incorporación Matter para hogares inteligentes
Decodifica los payloads de incorporación MT: en base 38. Extrae el ID de proveedor y el ID de producto. Muestra el aviso de que esto inscribe un dispositivo en tu red doméstica, para que una pegatina cambiada no pueda unirse silenciosamente a la red de un atacante.
Intercambio de QR de pago EMV
Analiza payloads EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Validación CRC y superficie del nombre del comerciante; detecta el ataque de intercambio de pegatinas, el fraude QR de mayor volumen a nivel global.
Secuestro de cuenta por QR-login
Reconoce los puntos de acceso QR-login de WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub y AWS. Advierte que escanear concede acceso a tu cuenta a quien generó el QR.
Un QR limpio hoy, una página de phishing mañana
Una vez que un QR está impreso en una pegatina, un menú o un volante, no puedes des-imprimirlo. Por eso el veredicto que importa no es solo «¿es el enlace seguro ahora?», sino «¿quién puede cambiar adónde apunta después de que se secó la tinta?». Eso es la mutabilidad.
QR estático
walmart.com codificado directamente en la matriz QR
El destino vive en el propio patrón de puntos. Ningún tercero puede reescribir adónde lleva. Lo que escaneas hoy es lo que escanearás dentro de un año.
QR dinámico (el riesgo)
aqr.net/demo-walmart → algún acortador → walmart.com
El QR codifica una URL de acortador; el titular de la cuenta del acortador elige el destino en el momento del escaneo y puede cambiarlo en 30 segundos. Seguro hoy, phishing mañana, misma pegatina física. Mostramos la cadena, identificamos al operador del servicio de redirección y te decimos si el activo impreso está bajo control externo.
Precios
Gratis para uso personal, sin registro. Planes de pago para particulares, familias, equipos, marcas y despliegues empresariales.
MIEMBRO FUNDADOR Tu tarifa. Fijada. Para siempre. Ahorra un 34% en planes de pago, facturación anual, disponible hasta el 1 de septiembre de 2026.
Aplicaciones nativas próximamente
El mismo motor, nativo en macOS, Windows, Linux, iOS y Android. El escaneo por cámara permanece en el dispositivo; la clasificación va al mismo punto de acceso. abundera.app →
Preguntas
¿Qué es el quishing?
El quishing es el phishing con códigos QR: un atacante imprime, pega, envía por email o por mensaje un código QR que, al escanearlo, abre una página de robo de credenciales, una transacción vaciadora de billetera, una trampa WiFi abierta o un intent de Android que instala malware. El propio QR es solo una imagen, por lo que los filtros de enlaces en el correo y las advertencias del navegador nunca lo ven hasta que el teléfono de la víctima ya ha abierto el destino. La defensa debe ocurrir en el momento del escaneo, antes de que el teléfono siga el enlace.
¿En qué se diferencia el quishing del phishing normal?
Tres diferencias. El vector de ataque es físico o visual, una pegatina sobre un QR de parquímetro, un volante impreso que imita una inscripción en MFA, un QR de menú de restaurante reemplazado de noche, por lo que elude por completo los gateways de email. Las víctimas confían más en los QR que en los enlaces de correo; un QR parece un destino elegido por quien imprimió el soporte. Y los códigos QR dinámicos que pasan por un acortador pueden reapuntarse a un destino de phishing después de distribuir el activo impreso, de modo que un QR que era seguro al imprimirse puede volverse hostil meses después. Los escáneres de enlaces estáticos responden a «¿es esta URL maliciosa ahora?», no a «¿quién puede cambiar adónde apunta?».
¿Cómo compruebo que un código QR es seguro antes de escanearlo?
No apuntes la cámara nativa de tu teléfono hacia él, eso abre el destino de inmediato. En cambio, abre check.qr.abundera.ai en tu teléfono, escanea el QR con la cámara integrada en la página (la decodificación ocurre localmente; la imagen nunca sale de tu dispositivo) y lee el veredicto. Recorremos cada salto de redirección, clasificamos si el destino puede ser modificado por un tercero después de imprimir el QR y comprobamos la reputación en Google Safe Browsing y otros agregadores. Los veredictos Despejado son seguros para abrir; los veredictos Precaución y No continuar te explican el motivo.
¿Cuáles son ejemplos reales de quishing?
Pegatinas en parquímetros y cargadores de vehículos eléctricos que superponen el QR legítimo con uno que apunta a una página de robo de tarjetas de crédito, el patrón más denunciado de 2024-2025, detectado en Austin, San Antonio y el Reino Unido. QRs de menú de restaurante reemplazados por páginas de phishing de noche por un atacante que sustituye físicamente el soporte de mesa. Volantes de inscripción en MFA corporativa en baños de oficinas que parecen oficiales pero inscriben el dispositivo del atacante. QRs de invitación de boda distribuidos meses antes del evento, donde el compromiso de la cuenta del acortador permite al atacante reapuntar miles de tarjetas impresas. QRs de pago cripto en terminales de punto de venta superpuestos con la dirección de billetera del atacante. El hilo común: el QR impreso es idéntico al seguro.
¿En qué se diferencia esto de Google Safe Browsing o VirusTotal?
Las herramientas existentes clasifican si una URL es actualmente maliciosa. Nosotros clasificamos además si el destino puede ser controlado por un tercero después de imprimir el QR, una propiedad que llamamos mutabilidad. Un QR dinámico limpio enrutado por un acortador sigue siendo de alto riesgo en una pegatina de parquímetro o una invitación de boda: el titular de la cuenta del acortador puede cambiar el destino en cualquier momento. Exponemos esta postura de control como un campo de veredicto de primer nivel junto al veredicto de contenido de amenaza.
¿Guardáis el QR que escaneo?
No. El payload decodificado viaja a nuestro servidor por HTTPS para que podamos recorrer la cadena y consultar bases de datos de reputación, una necesidad funcional, no una opción, pero nunca se persiste. Los veredictos se almacenan en caché mediante un hash SHA-256 de un discriminador específico por tipo de payload concatenado con una sal secreta del servidor. El payload original no puede reconstruirse a partir de ninguna entrada de caché.
¿Por qué un dominio distinto de qr.abundera.ai?
qr.abundera.ai es un generador que garantiza que todo ocurre en el lado del cliente: nada sale de tu dispositivo. Este comprobador de seguridad transmite el payload decodificado al servidor por necesidad. Separamos ambas superficies para que la promesa de solo-cliente se mantenga limpia en el dominio generador, y la superficie con modelo de privacidad invertido quede claramente etiquetada aquí.
¿Qué es la función de alerta de mutación?
Nivel Pro. Envía un QR para seguimiento y recorremos la cadena periódicamente. Recibirás un email cuando cambien los destinos de redirección, el destino final o el conjunto de operadores de servicios de redirección. Esto detecta el patrón de quishing más común en la práctica: imprimir un QR limpio, cambiar el destino a phishing meses después y recoger los escaneos del activo impreso.
¿Puedo integrarlo en mi producto de seguridad?
Sí, en el nivel Pro. La API es RESTful, devuelve un veredicto JSON estructurado con tipo de payload, clase de amenaza, mutabilidad, cadena de redirección, atribución de control por salto y hallazgos de sub-payloads. Diseñada para integrarse en aplicaciones de billetera, suites de seguridad móvil, filtrado de URL empresarial y enriquecedores de vista previa de enlaces en Slack y Teams corporativos.
¿Es de código abierto?
Por el momento, no. El clasificador es de código cerrado mientras el trabajo de patentes subyacente está en tramitación. Es posible que publiquemos implementaciones de referencia de los algoritmos divulgados después de la concesión. El contrato de la API es público y estable.