Un código QR puede contener un enlace web, tu contraseña de Wi-Fi, un pago, una tarjeta de contacto, una tarjeta de embarque, un registro de vacunas, un permiso de conducir, un código de emparejamiento de hogar inteligente y docenas de otras cosas. La mayoría de los escáneres de seguridad solo verifican enlaces web. Nosotros identificamos y verificamos todos ellos, en lenguaje sencillo.
Cargando…
Para cada tipo de código QR, te decimos qué es, qué contiene y si es seguro actuar sobre él, sin filtrar tu información personal en el proceso.
El QR de un cartel, parquímetro o mesa de restaurante. Seguimos cada redirección, identificamos al propietario del acortador (Bitly, Linktree, TinyURL, de marca) y marcamos dominios similares y sitios de phishing conocidos. Si el enlace puede cambiar después de imprimir el QR, lo indicamos: así es como funcionan las estafas de sustitución de stickers.
El QR que te da tu hotel o café. Mostramos el nombre de la red, el tipo de seguridad y la contraseña, y marcamos imitaciones de «Starbucks WiFi» o «Airport Free WiFi» que intentan engañarte para que te conectes.
Códigos QR de pago en restaurantes, puestos de mercado y parquímetros. Mostramos el nombre del comerciante, ciudad, país, monto y moneda antes de pagar, para que puedas comprobar que estás pagando a quien crees. Cubre 54 países: PIX (Brasil), UPI (India), PromptPay (Tailandia), PayNow (Singapur), Bizum (España), Swish (Suecia) y muchos más.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu y más. Validamos la dirección, decodificamos el monto y advertimos claramente cuando un QR pide a tu cartera que llame a una función de contrato inteligente (a menudo el inicio de una estafa de vaciado de cartera) en lugar de hacer un simple envío.
El QR de «guardar mi contacto» en una tarjeta de visita. Nombre, teléfono, correo, organización, dirección, perfiles sociales, cumpleaños y notas, presentados como una tarjeta estructurada que puedes añadir a tu teléfono con un solo toque. Los nombres similares a marcas conocidas quedan marcados.
Códigos QR de eventos de sitios de bodas, credenciales de conferencias y flujos de compra de entradas. Título, inicio, fin, recurrencia (semanal, mensual), ubicación, organizador y asistentes, todo decodificado para que veas exactamente qué se añadirá a tu calendario antes de pulsar Aceptar.
Códigos QR de llamada, mensaje de texto o correo electrónico con un toque. Marcamos números de tarificación especial (los que cobran por minuto), códigos cortos internacionales usados en fraudes y asuntos de correo prellenados que intentan engañarte para que envíes información sensible.
El QR que tu banco, Google o aplicación de trabajo te muestra al configurar un autenticador. Decodificamos el emisor y la cuenta para que puedas confirmar qué estás registrando, y avisamos con claridad cuando alguien intenta compartir su paquete completo de Google Authenticator (un QR que contiene todos sus códigos 2FA).
Leer: ¿es seguro escanear la exportación de Google Authenticator?
El QR que muestra tu portátil para que tu teléfono complete un inicio de sesión con clave de acceso. Advertimos claramente si no fuiste tú quien inició la sesión: escanear el QR de un desconocido te hace iniciar sesión en su nombre con tu cuenta. También detecta el mismo truco en WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack y Apple ID.
Leer: ¿debo escanear este QR de inicio de sesión con clave de acceso?
El código de barras en el reverso de los permisos de conducir estadounidenses y canadienses (el que escanean bares y clubes), además de permisos digitales de las DMV estatales y la Cartera de Identidad Digital de la UE. Mostramos el emisor, el tipo de credencial y los atributos que contiene, y nunca reproducimos el nombre, la dirección ni la fecha de nacimiento del titular.
Leer: ¿qué dice el código de barras del reverso de un permiso de conducir?
SMART Health Cards (registros de vacunas, recetas, resultados de laboratorio) y Certificados Digitales COVID de la UE. Identificamos qué tipo de credencial es y quién la emitió, pero deliberadamente no decodificamos el nombre del paciente, la fecha de nacimiento ni ningún detalle médico. Tu aplicación de salud es el lugar adecuado para ver esos datos, no una página pública de escaneo.
El QR de tu tarjeta de embarque. Número de vuelo, ruta, fecha, asiento y secuencia, todo decodificado para que puedas verificar el pase. Enmascaramos el código de reserva (PNR) por defecto porque cualquiera con tu nombre y PNR puede acceder a tu reserva. No publiques fotos de tarjetas de embarque.
Leer: ¿qué información contiene el código de barras de una tarjeta de embarque?
Códigos QR de emparejamiento de Matter y Apple HomeKit que escaneas para añadir un dispositivo nuevo a tu hogar. Decodificamos el fabricante, el producto, el código de configuración y los tipos de red a los que intentará conectarse, para que un sticker cambiado no pueda inscribir silenciosamente un dispositivo en una red que no controlas.
El QR que escaneas para instalar un plan telefónico. Mostramos el servidor del operador con el que se comunicará, el código de activación y si se requiere un código de confirmación. Advertencia destacada: un eSIM instalado puede interceptar SMS, incluyendo cualquier código de 2FA que recibas por mensaje de texto.
Códigos QR de configuración de WireGuard. Mostramos la dirección del servidor, las IPs permitidas y el DNS, y marcamos las configuraciones de túnel completo que enrutarían todo tu tráfico a través del servidor de otra persona. La clave privada del QR está enmascarada por defecto.
Códigos QR de enlace digital GS1 en productos envasados, el formato que reemplazará a los códigos de barras tradicionales para productos cotidianos en 2027. Decodificamos el código de producto (GTIN), el número de lote, la fecha de vencimiento y el número de serie, para que puedas verificar la autenticidad de un producto de un vistazo.
El QR en facturas suizas. Decodificamos el IBAN, el nombre y la dirección del acreedor, el monto, la moneda y la referencia, para que puedas abrirlo en tu aplicación bancaria con total visibilidad sobre quién recibirá el pago.
Algunos formatos QR nunca deberían ejecutarse desde un escaneo: javascript:, URIs de archivos ejecutables y blobs de datos codificados en JavaScript. Bloqueamos estos de forma permanente y explicamos por qué. El botón de acción está deshabilitado por diseño.
Los tokens ecash de Cashu son literalmente dinero: cualquiera que fotografíe el QR puede gastarlo. Lo marcamos con una advertencia clara. Los endpoints LNURL (inicio de sesión Lightning, retiro, pago) se decodifican para que veas a dónde se conectará tu cartera antes de pulsar.
Cuando el QR es solo texto plano, igualmente buscamos URLs incrustadas, secretos expuestos (claves API, JWT, claves SSH), patrones de inyección de prompts de IA dirigidos a asistentes posteriores, y caracteres unicode similares que disfrazan enlaces peligrosos.
«qr.abundera.ai/r/abc → walmart.com, limpio ✓»
Verdad en este momento exacto. Pero el sticker QR de un parquímetro pasa por un acortador primero. El titular de la cuenta puede cambiar el destino en cualquier momento. Imprime un QR limpio hoy, cambia el destino a una página de phishing mañana: cada escaneo posterior del mismo sticker físico lleva al phishing. El escáner de URL nunca te dijo que eso era posible.
«Pasa por un acortador. El propietario de la cuenta puede cambiar el destino después de imprimir. Hoy lleva a walmart.com (limpio).»
Dos respuestas en un veredicto. Ahora: ¿es seguro hoy? Después: ¿quién puede cambiarlo mañana? Ambas importan para un QR en una superficie impresa que no puedes desimprimir.
Para credenciales y documentos de identidad, identificamos el tipo de QR que escaneaste, pero deliberadamente no decodificamos la información personal que contiene.
Cuando escaneas una exportación de aplicación de autenticador o un código de configuración, lo identificamos y te advertimos sobre escanearlo en el lugar equivocado, pero las semillas secretas reales nunca son decodificadas por nuestro servidor. Van a tu aplicación de autenticador, no a nosotros.
Registros de vacunas y certificados de salud: mostramos el emisor (qué gobierno o autoridad sanitaria) y qué tipo de registro es. Tu nombre, fecha de nacimiento e historial médico permanecen dentro de la credencial, nunca se reproducen a través de nuestro escáner.
Mostramos la información del vuelo para que puedas verificar el pase, pero enmascaramos el código de reserva con un toque para revelar, de modo que una captura de pantalla de nuestro veredicto no sea en sí misma una forma de acceder a tu reserva.
Las claves privadas de WireGuard y SSH en formato QR se presentan como campos enmascarados que puedes tocar para revelar en tu dispositivo. No se envían a ningún tercero.
Algunos formatos QR emergentes que seguimos. Los incorporaremos uno a uno cuando el estándar se estabilice.
La cartera de identidad digital transfronteriza de la UE (eIDAS 2.0) se está desplegando entre 2024 y 2026. Ya decodificamos el formato de permiso de conducir móvil estrechamente relacionado; la variante de la cartera UE llega cuando los despliegues de los Estados miembros se estabilicen.
La regulación de la UE exige que cada producto de consumo lleve un pasaporte digital (sostenibilidad, origen, información de reparación) para 2027. El formato ya es una URL de enlace digital GS1, que decodificamos hoy; la superficie completa del pasaporte se enriquecerá a medida que los fabricantes publiquen sus datos.
El Bluetooth SIG está estandarizando un formato QR para la puesta en marcha de redes mesh (los QR de emparejamiento actuales son específicos de cada fabricante). Añadiremos soporte cuando se publique la especificación.
Código QR, Aztec (tarjetas de embarque móviles), PDF417 (permisos de conducir de EE. UU.), Data Matrix (farmacia + venta minorista), Code 128/39/93, Codabar, EAN-13/8 (supermercados), UPC-A/E (venta minorista de EE. UU.), ITF (cajas), MaxiCode (etiquetas de envío UPS), GS1 DataBar + DataBar Expanded (productos frescos, cupones). Apunta la cámara a cualquiera de estos y decodificamos y clasificamos el payload igual que con QR.
Hacemos seguimiento de cada formato de código de barras con el que los usuarios podrían encontrarse. Estos están en nuestro radar pero son inalcanzables en JavaScript del navegador hoy, ya sea porque no existe ningún decodificador de producción, el estándar es solo de investigación o el formato está descontinuado. Añadiremos soporte en cuanto se abra una vía viable (biblioteca del navegador, aplicación nativa o decodificación en el servidor).
Simbología 2D nacional china (GB/T 21049-2007). Usada para logística industrial y documentos gubernamentales. Ningún decodificador JavaScript de producción existe hoy; hay soporte experimental en zxing-cpp, que llegará cuando añadamos la aplicación nativa de Abundera QR Check (planificada).
Código de barras 2D de color estandarizado por el BSI alemán para embalajes antifalsiifcación. La implementación de referencia es código C solo de investigación; no existe ningún puerto JavaScript. Pendientes de que aparezca un puerto mantenido.
Formato de impresión industrial de alta velocidad usado por los sectores del tabaco y farmacéutico. Ningún decodificador JavaScript lo lee de forma fiable hoy, incluso con conjuntos de datos de calidad. En lista de seguimiento para la plataforma de aplicaciones nativas.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Países Bajos), Australia Post 4-State. Lo suficientemente especializados como para que no existan bibliotecas JavaScript mantenidas. Si surge un caso de uso de cliente lo evaluaremos con un decodificador en la aplicación nativa o en el servidor.
Microsoft retiró este formato de código de barras de color en 2015 junto con su SDK de escaneo. No se puede dar soporte; se incluye aquí por completitud para que quienes tengan material de marketing antiguo sepan que no se podrá escanear.
Formatos 2D industriales de nicho. Sin decodificadores JavaScript de producción. Cada uno es suficientemente raro en la práctica como para que solo invirtamos si un cliente verificado lo solicita.