Estándares

Cada estándar QR que reconocemos, explicado

Un código QR es un contenedor. Lo que hay dentro puede ser un pago, un registro de vacunas, una licencia de conducir, una eSIM, un inicio de sesión con clave de acceso, un emparejamiento para el hogar inteligente: cada uno regido por su propio estándar internacional, con su propio modelo de amenazas. Esta es la referencia autorizada de cada estándar que identifica nuestro escáner, qué contiene realmente al escanearlo y exactamente qué mostramos frente a lo que enmascaramos deliberadamente.

Probar el escáner → Ver cobertura completa →

Estándares de pago

Cada QR que has escaneado para pagar a un comerciante en los últimos cinco años utiliza la estructura TLV de EMVCo, pero el contenido es específico del país. Identificamos el esquema concreto, decodificamos los campos del comerciante que necesitas verificar antes de pagar y validamos la suma de verificación CRC que los atacantes de intercambio de pegatinas no pueden falsificar.

EMVCo MPM / CPM

El estándar base para todo pago QR presentado por el comerciante a nivel mundial. Estructura Tag-Length-Value con nombre del comerciante, ciudad, país, moneda, monto, datos de la cuenta del destinatario y una suma de verificación CRC-16/CCITT-FALSE.

Mostramos: nombre del comerciante, ciudad, país, moneda ISO 4217 (tabla completa, 169 códigos), categoría MCC, monto, dinámico vs. estático, indicador de propina, subcampos de datos adicionales (etiqueta de referencia, número de factura, etiqueta de cliente, etiqueta de terminal, propósito).

Puntuación de amenaza: CRC inválido → sospechoso (el QR fue alterado o corrompido; es la señal más confiable de intercambio de pegatinas).

Análisis profundo del intercambio de pegatinas → · Referencia del generador →

Pix (Brazil)

El esquema de pago instantáneo del Banco Central de Brasil. Líder mundial por volumen de transacciones. Dos variantes: estático (un QR reutilizable) y dinámico (QR de un solo uso con ID de transacción integrado).

Mostramos: clave Pix del destinatario (CPF / CNPJ / correo electrónico / teléfono / UUID EVP), descripción del pago, URL del QR dinámico cuando está presente.

Cómo crear uno →

UPI (India)

La Interfaz de Pagos Unificada de India, la mayor por número de usuarios. La Dirección de Pago Virtual (VPA) UPI enruta pagos entre bancos en tiempo real.

Mostramos: VPA del beneficiario, nombre del beneficiario, monto, moneda, referencia de transacción, MCC, nota de transacción.

Cómo crear uno →

Swiss QR-bill

ISO 20022 SPC v2.2, no EMVCo. Reemplaza el comprobante de pago suizo naranja/rojo. 33 campos delimitados por línea que cubren acreedor, acreedor final, deudor final, tipo de referencia (QRR / SCOR / NON), información de factura y procedimientos alternativos.

Mostramos: IBAN del acreedor, dirección completa del acreedor, deudor final, monto, moneda, tipo de referencia formateado, referencia estructurada, mensaje no estructurado, URL de procedimiento alternativo eBill.

Cómo crear uno →

EPC Girocode (SEPA)

QR de transferencia de crédito del Consejo Europeo de Pagos. Ampliamente utilizado en Alemania, Austria, Países Bajos y los países nórdicos para el pago de facturas.

Mostramos: nombre del beneficiario, IBAN, BIC, monto, información de remesa, código de propósito.

Cómo crear uno →

ZATCA Fatoora (Saudi Arabia)

Facturación con firma criptográfica, obligatoria en cada transacción comercial en el Reino de Arabia Saudita. Codificada en TLV con cinco etiquetas requeridas (vendedor, número de IVA, marca de tiempo, total, monto de IVA) más una firma ECDSA.

Mostramos: nombre del vendedor, número de registro de IVA, marca de tiempo ISO 8601, total de la factura, monto de IVA.

Cómo crear uno →

Y muchos más: identificamos esquemas de pago nacionales de 54 países, PromptPay (Tailandia), PayNow (Singapur), DuitNow (Malasia), QRIS (Indonesia), Bizum (España), Swish (Suecia), MB WAY (Portugal), BLIK (Polonia), Wero (UE) y decenas más en el catálogo de analizadores.

Credenciales de salud

Registros de vacunas, recetas, resultados de laboratorio y certificados de viaje. Firmados criptográficamente por autoridades sanitarias nacionales. Identificamos la credencial y mostramos el emisor y el tipo, pero deliberadamente nunca decodificamos el nombre, la fecha de nacimiento ni el historial médico del paciente. Tu aplicación de cartera es el lugar correcto para ver esos datos.

SMART Health Cards

JWS de codificación numérica que envuelve una carga JSON comprimida en DEFLATE con recursos FHIR. Usado por Apple Wallet, la Common Trust Network, estados de EE. UU., provincias canadienses y varias cadenas de farmacias para registros de vacunas y análisis de laboratorio.

Mostramos: URL del emisor, marca de tiempo ISO de emisión, tipo de credencial (covid19 / immunization / lab / etc.), versión FHIR, recuento y tipos de recursos.

Nunca decodificamos: nombre del paciente, fecha de nacimiento, fechas de vacunación/prueba, cuerpos individuales de recursos FHIR. Protegido por pruebas en el conjunto de analizadores.

EU Digital COVID Certificate (HC1)

El prefijo HC1: envuelve una cadena base45 → DEFLATE → COSE_Sign1 → CBOR → CWT que termina en una reclamación HCERT definida por la UE. Aún se utiliza para documentos de viaje no relacionados con COVID en algunos estados miembros tras el fin de la emergencia sanitaria.

Mostramos: país emisor (ISO 3166-1), marca de tiempo de emisión válida desde, marca de tiempo de vencimiento, versión del esquema, tipo de credencial (vacunación / prueba / recuperación), enfermedad objetivo (SNOMED-CT, «COVID-19» mostrado, no el código 840539006 en bruto), país de vacunación/prueba, organización emisora, número de dosis / total, tipo de prueba, resultado de la prueba.

Nunca decodificamos: nombre del paciente, fecha de nacimiento, fechas de dosis, identificador único del certificado (UVCI). Protegido por pruebas.

Documentos de identidad

Licencias de conducir, identificaciones móviles y carteras de identidad digital. El código de barras en el reverso de una licencia de conducir estadounidense contiene todos los campos del anverso. El QR de la licencia de conducir móvil transmite un intercambio de conexión para que un verificador pueda conectarse por NFC / BLE y leer atributos.

AAMVA driver license

El código de barras PDF417 en el reverso de cada licencia de conducir de EE. UU. y Canadá. Formato de subelemento según el apéndice D.12.5 del Estándar de Diseño de Tarjeta AAMVA.

Mostramos (~17 campos): nombre, segundo nombre y apellido; fecha de nacimiento en formato ISO; sexo; estatura; color de ojos; número de licencia (enmascarado); clase de licencia; restricciones; endosos; fecha de vencimiento; fecha de emisión; dirección completa; país; indicador de donante de órganos; indicador de veterano; umbral de edad menor de 21 años.

Sensible por defecto: el número de licencia y la fecha de nacimiento se muestran como campos enmascarados que requieren toque para revelar, de modo que una captura de pantalla del veredicto no sea en sí misma una filtración de identidad. La advertencia de privacidad indica que bares y discotecas que escanean licencias reciben TODOS estos datos, no solo la edad del titular.

Anatomía completa → · Referencia del generador →

Mobile Driver License (ISO 18013-5)

El QR mdoc: que muestra tu licencia de conducir móvil en iOS / Android cuando la presentas a un verificador. CBOR DeviceEngagement con un selector de suite de cifrado, la clave pública efímera del titular y la lista de métodos de transferencia que el verificador puede usar para conectarse.

Mostramos: versión del protocolo, suite de cifrado (P-256 ECDH-ES + A256KW es la obligatoria actualmente), métodos de transferencia admitidos (NFC / BLE / Wi-Fi Aware), host de recuperación del servidor (cuando está presente).

Nunca decodificamos: los bytes de la clave pública efímera del titular (solo se muestra la longitud). Los atributos reales del mDL fluyen por el canal negociado después de que el verificador se conecta, nunca a través de este escáner.

Guía completa de mDL →

EU Digital ID Wallet (eIDAS 2.0)

Esquemas OpenID4VP y eudi-openid4vp para la presentación de identidad transfronteriza. Los despliegues de los estados miembros se intensifican entre 2024 y 2026.

Mostramos: familia de protocolo (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, nombre de host de response_uri, nombre de host de request_uri para flujos de solicitud firmada, response_mode.

DID URIs

Identificadores Descentralizados: did:web, did:key, did:ion, did:ebsi y otros métodos.

Mostramos: método DID, identificador específico del método, parámetro de servicio, referencia relativa, fragmento de verificación.

Autenticación y claves de acceso

Los flujos de inicio de sesión con QR que protegen (o comprometen) cada cuenta que tienes. Identificamos cada tipo y advertimos claramente cuando un QR te pide completar el inicio de sesión de otra persona en lugar del tuyo.

FIDO CTAP 2.2 hybrid

El QR de clave de acceso entre dispositivos que muestra tu portátil cuando inicias sesión con una clave de acceso en tu teléfono. Mapa CBOR codificado en base10 con la clave pública del par, el secreto QR, la indicación de operación, el dominio del servidor de túnel, la marca de tiempo y el indicador de asistencia de estado.

Mostramos: operación (make-credential / get-assertion / discoverable), dominio del servidor de túnel (p. ej. cable.ua5v.com), marca de tiempo ISO, compatibilidad con asistencia de estado, longitud de la clave pública del par, longitud del secreto QR.

Advertencia importante: escanear este QR completa el inicio de sesión que alguien INICIÓ EN OTRO DISPOSITIVO. Si no acabas de iniciar tú mismo un inicio de sesión con clave de acceso, recházalo: estarías autenticando en tu cuenta a quien generó este QR.

Leer: ¿debería escanear este QR de inicio de sesión con clave de acceso? →

HOTP / TOTP (2FA setup)

QR de configuración de contraseña de un solo uso RFC 4226 / RFC 6238. El URI otpauth:// que muestra tu banco o aplicación de trabajo al registrar un autenticador.

Mostramos: emisor, cuenta, algoritmo (SHA1 / SHA256 / SHA512), dígitos (6 / 8), período (TOTP) o contador (HOTP), URL del ícono del emisor.

Sensible por defecto: el secreto Base32 se muestra enmascarado y requiere toque para revelar. También validamos en Base32 el secreto y advertimos claramente cuando está mal formado; las aplicaciones autenticadoras aceptan secretos mal formados en silencio y luego generan códigos que nunca se verifican.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

El QR de exportación masiva de Google Authenticator. Contiene todos los secretos 2FA del autenticador a la vez: un paquete protobuf con N entradas OtpParameters.

Mostramos (por entrada): emisor, cuenta, tipo (HOTP / TOTP), algoritmo, dígitos, contador; además de versión / metadatos de lote. La revelación enumera «Concede en este paquete: ACME / alice@acme; GitHub / bob@github; …» para que un usuario en medio de una migración pueda auditar antes de importar.

Nunca decodificamos: los bytes de la semilla secreta real. Verificado por pruebas con cadenas canarias que nunca deben aparecer en ninguna salida del veredicto.

Advertencia importante: la clase de amenaza es probablemente_peligroso a menos que el usuario esté LITERALMENTE realizando una migración entre sus propios dispositivos.

Anatomía completa + guía de seguridad →

Sign-In with Ethereum (SIWE / EIP-4361)

El mensaje de inicio de sesión en texto plano que tu cartera firma para demostrar el control de una dirección de cartera ante un sitio web.

Mostramos: dominio del sitio, dirección de la cartera, ID de cadena, nonce, tiempo de expiración.

Advertencia: lee el sitio y el enunciado con atención; un sitio malicioso puede usar un mensaje SIWE firmado para hacerse pasar por ti en ese dominio.

Viajes y billetes

IATA boarding pass (Resolution 792)

El QR / Aztec / PDF417 de tu pase de abordaje de aerolínea. Encabezado de ancho fijo (60 caracteres) más 37 caracteres de datos obligatorios por segmento.

Mostramos (por segmento): código de aerolínea + número de vuelo (sin ceros iniciales), ruta (ORIGEN → DESTINO), fecha (día juliano → ISO con avance de año inteligente), asiento, clase de cabina, número de secuencia, estado (Abordado / Acceso a sala VIP / Sin control de seguridad / etc.). Los pases de varios segmentos muestran prefijos de fila por segmento.

Sensible por defecto: el PNR / referencia de reserva se muestra enmascarado y requiere toque para revelar; tu nombre más el PNR es suficiente para acceder a la reserva en la mayoría de los sitios de aerolíneas. No publiques fotos de pases de abordaje.

Guía campo por campo →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Mostramos: FQDN del SM-DP+ (el servidor del operador que se comunicará con tu teléfono), código de activación, indicador de código de confirmación requerido.

Advertencia: un perfil eSIM instalado puede interceptar SMS, incluidos los códigos 2FA por SMS. Verifica que el SM-DP+ coincida con tu operador real (Airalo, Saily, Truphone, Google Fi, etc.) contra una lista de permitidos antes de instalar.

Cómo funcionan los QR de activación eSIM →

Hogar inteligente e IoT

Matter onboarding

Código binario empaquetado en base38 con prefijo MT: de la Connectivity Standards Alliance. Emparejamiento de hogar inteligente entre proveedores; funciona con Apple Home, Google Home, Amazon Alexa y Samsung SmartThings.

Mostramos: ID de proveedor, ID de producto, discriminador, código de configuración de 8 dígitos (enmascarado como sensible), flujo de puesta en servicio, indicadores de capacidad de descubrimiento (Soft-AP / BLE / red IP existente), versión del estándar.

Guía completa de Matter →

Apple HomeKit (X-HM://)

URI de configuración de accesorio HAP de Apple. Anterior a Matter; todavía se incluye en muchos accesorios que aún no son compatibles con Matter.

Wi-Fi Easy Connect (DPP)

Protocolo de Provisión de Dispositivos Wi-Fi Alliance, el reemplazo moderno de WPS. Usado en enrutadores de 2025 para la incorporación de dispositivos mediante QR.

Bluetooth Auracast (BAU v1.0)

Esquema QR de Bluetooth SIG para transmisiones LE Audio. El UUID de servicio 184F identifica Auracast; mostramos el nombre de la transmisión (decodificado en base64) y el estado de cifrado.

Cripto y Lightning

Bitcoin (BIP-21)

El URI estándar de pago de Bitcoin. Mostramos dirección, monto (con unidad BTC/sat), etiqueta, mensaje, punto de acceso PayJoin (pj=), URL de solicitud de pago BIP-72 (r=), parámetros requeridos (req-*), reserva Lightning.

Ethereum (EIP-681)

URI de solicitud de pago de Ethereum con selección de cadena. Decodificamos destinatario vs. contrato, ID de cadena con etiqueta legible (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), valor (wei → ETH/Gwei formateado), nombre de función llamada, argumentos de transferencia ERC-20.

Advertencia: una llamada a contrato no es lo mismo que un envío simple; los drainers de carteras dependen de que los usuarios no noten la diferencia.

WalletConnect (ERC-1328)

El URI de emparejamiento dApp↔cartera. Mostramos versión (v2 es actual; v1 está obsoleta y es menos segura), tema, protocolo de retransmisión, clave simétrica de sesión (enmascarada como sensible).

Solana Pay

URI de solicitud de transferencia de Solana Foundation. Mostramos destinatario, monto, acuñación de token SPL, etiqueta, referencia, mensaje, memo.

Lightning Network (BOLT-12, LNURL)

Las ofertas BOLT-12 (lno1…) son solicitudes de pago Lightning reutilizables. LNURL (lnurl1…) codifica en bech32 un punto de acceso HTTPS al que tu cartera llama para obtener una factura, retirar fondos, abrir un canal o autenticarse.

Cashu ecash

Token de efectivo digital portador. Se distingue de todos los demás formatos cripto porque el QR literalmente ES el dinero: cualquiera que lo fotografíe puede gastarlo.

Sensible por defecto: la cadena del token está enmascarada; el veredicto advierte claramente que el QR contiene valor sin gastar.

Nostr (NIP-19)

Identificadores Nostr codificados en Bech32. Reconocemos npub (clave pública), nsec (clave privada, con advertencia importante), note, nevent, nprofile, naddr, nrelay.

nsec sensible: una clave privada Nostr en un QR significa que la identidad del titular ha sido capturada. Lo marcamos como filtración de credencial.

Industrial y regulatorio

GS1 Digital Link

El estándar que reemplazará los códigos de barras 1D para productos de consumo. Los Identificadores de Aplicación en la ruta URL codifican GTIN, lote, fecha de producción/vencimiento, número de serie y más.

Mostramos: GTIN (01), lote (10), fecha de producción (11), fecha de consumo preferente (15), fecha de vencimiento (17), número de serie (21) y AIs adicionales como campos con nombre.

Cómo crear un GS1 Digital Link →

EU Digital Product Passport

La regulación de la UE exige que cada producto de consumo lleve un pasaporte digital (sostenibilidad, origen, información de reparación) a partir de 2027. Se basa en URLs de GS1 Digital Link que resuelven a páginas de pasaporte por producto.

El propio QR se decodifica hoy mediante nuestro analizador de GS1 Digital Link; el contenido del pasaporte más allá de la URL lo publica cada fabricante.

Resumen completo + qué contiene un pasaporte →

VPN y credenciales de desarrollador

WireGuard config

Configuración de VPN WireGuard en formato INI. Mostramos dirección de interfaz, DNS, puerto de escucha, punto de acceso del par, IPs permitidas, keepalive persistente, recuento de pares adicionales.

Sensible por defecto: la clave privada de interfaz y la clave precompartida se muestran enmascaradas y requieren toque para revelar. Advertimos cuando allowed-IPs es 0.0.0.0/0 (túnel completo: cada byte de tu tráfico pasa por el servidor de otra persona).

SSH public key

Formato authorized_keys de OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Mostramos algoritmo, comentario y longitud de clave.

X.509 certificate / JWT

Certificados X.509 con armadura PEM y serializaciones compactas JWT en bruto. Recorremos el DER del certificado para extraer CN/O del sujeto, CN del emisor, NotBefore/NotAfter y longitud en bits de la clave pública. Marcamos los certificados vencidos.

Privacidad JWT: mostramos alg + typ del encabezado pero NUNCA decodificamos las reclamaciones del payload JWT; pueden contener IDs de cuenta, alcances u otros secretos que no deben aparecer en los resultados del escáner.

PGP key block

Bloque de CLAVE PÚBLICA / PRIVADA OpenPGP. Solo mostramos el formato; el material de la clave está enmascarado. Los bloques de CLAVE PRIVADA incluyen una advertencia clara de «no compartas este QR».

Simbologías que decodificamos (el código visual en sí)

Una simbología es el *contenedor*, la forma de puntos y cuadrados. Los estándares anteriores son el *payload*, lo que hay dentro. Nuestro escáner lee cada simbología de estándar abierto y pasa el texto decodificado al analizador correspondiente.

QR Code (ISO/IEC 18004)

Modelo 1 (original de 1994), Modelo 2 (el estándar global actual), Micro QR (componentes pequeños) y QR Micro rectangular (rMQR, ISO/IEC 23941:2022, etiquetas estrechas como tubos de ensayo).

Aztec Code (ISO/IEC 24778)

La simbología con localizador de diana utilizada en Eurostar, SBB y muchos pases de abordaje del transporte europeo.

Más sobre Aztec →

Data Matrix (ISO/IEC 16022)

Simbología densa de pequeño formato. Usada por GS1 retail, DSCSA farmacéutico, defensa MIL-STD-130, aviación ATA Spec 2000 y etiquetado de productos sanguíneos ISBT 128.

Más sobre Data Matrix →

PDF417 (ISO/IEC 15438)

Simbología lineal apilada usada en licencias de conducir de EE. UU./Canadá (AAMVA), etiquetas de envío y albaranes de FedEx.

Más sobre PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF: los códigos de barras lineales que ves en cada caja del supermercado y en cada etiqueta de envío.

Por qué esto importa

La seguridad de un QR no es la seguridad de su URL, sino la seguridad del estándar que rige su contenido. Un QR de pago es peligroso porque alguien intercambió la pegatina; un QR de clave de acceso es peligroso porque alguien quiere iniciar sesión como tú; un QR de registro de vacunas es peligroso según quién tenga el escáner que lo lee. Modelamos cada uno por separado, con su propio modelo de amenazas y decodificación a nivel de campo, no adivinando.

Cada analizador es transparente sobre lo que muestra y lo que enmascara deliberadamente, para que puedas verificar nuestras afirmaciones leyendo la salida del veredicto, no confiando en una caja negra.

Ver cobertura completa → Probar el escáner →