What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Estándares · Tarjeta de embarque IATA con código de barras

¿Qué información contiene el código de barras de una tarjeta de embarque?

Casi todo lo que una aerolínea sabe sobre tu viaje. El código de barras 2D (QR, Aztec o PDF417) de tu tarjeta de embarque contiene tu nombre completo, tu referencia de reserva de seis o siete caracteres, la aerolínea y el número de vuelo, la ruta, la fecha de salida, el asiento, la clase de cabina, el número de secuencia de registro y cualquier número de viajero frecuente registrado. Juntos, tu nombre más esa referencia de reserva son suficientes para iniciar sesión en el sitio web de la aerolínea y acceder a tu reserva, razón por la cual una foto de una tarjeta de embarque publicada públicamente es un riesgo de seguridad real.

Verifica tu tarjeta de embarque → Todos los estándares →

¿Cuál es el formato?

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

El contenedor es flexible en cuanto a simbología: la mayoría de aerolíneas usan QR hoy en día, los ferrocarriles europeos de alta velocidad y SBB usan Aztec, y algunas aerolíneas heredadas aún emiten PDF417. El TEXTO codificado es idéntico en los tres casos; solo difiere la codificación visual. Nuestro escáner lee las tres simbologías y aplica el mismo decodificador al texto resultante.

La porción obligatoria de cada tarjeta de embarque tiene exactamente 60 caracteres: un encabezado de 2 caracteres (código de formato "M" + recuento de segmentos), seguido de 20 caracteres con el nombre del pasajero, 1 carácter indicador de boleto electrónico y 37 caracteres de datos del segmento. Las conexiones con múltiples segmentos añaden otros 37 caracteres por segmento. La sección condicional (tras los 60 obligatorios) normalmente incluye el número de viajero frecuente, la base tarifaria, el origen del check-in (web / quiosco / agente) y cualquier dato de seguridad que la aerolínea haya añadido.

El diseño completo del campo

Encabezado (2 caracteres)

Código de formato "M" + número de segmentos (1-4). Un boleto de múltiples segmentos, p. ej. SFO → JFK → LHR, tiene un conteo de segmentos de 2 y contiene dos registros de segmento consecutivos.

Nombre del pasajero (20 caracteres)

"APELLIDO/NOMBRE" alineado a la izquierda, completado con espacios. Los nombres largos se truncan; el nombre impreso en el pase es siempre la fuente de verdad.

Indicador de boleto electrónico (1 carácter)

"E" para un billete electrónico (todos los pases modernos) o " " para uno en papel (prácticamente inexistente).

Por segmento (37 caracteres cada uno)

PNR / localizador de reserva (7 caracteres), la referencia de reserva.
Desde / hacia aeropuertos (3 caracteres cada uno), códigos de tres letras IATA.
Aerolínea (3 caracteres, alineado a la izquierda), código IATA de la aerolínea operadora.
Número de vuelo (5 caracteres, completado con ceros).
Fecha del vuelo (3 caracteres), día juliano del año (ej. "250" = día 250 = 7 de septiembre).
Compartimento (1 car.), Y / W / J / F / etc. (clase de reserva).
Asiento (4 caracteres, con ceros a la izquierda).
Número de secuencia (5 caracteres, con ceros a la izquierda), tu orden de registro.
Estado del pasajero (1 carácter), 1=equipaje requerido, 2=acceso al salón VIP, 3=omisión de seguridad, F=abordado, G=facturado en puerta, etc.
Longitud condicional (2 caracteres hexadecimales), bytes de datos condicionales después de este segmento.

Sección condicional (variable)

Tras cada segmento, una sección opcional con los datos específicos de la aerolínea: número de viajero frecuente, código de tarifa, franquicia de equipaje, datos de seguridad específicos de la aerolínea, y algunos campos menos comunes. El número de viajero frecuente es el dato más sensible en términos de privacidad: es un identificador de larga duración que vincula cada vuelo que has tomado a una sola cuenta.

Sección de seguridad (variable, opcional)

Algunas aerolíneas añaden una firma para que el pase pueda verificarse sin conexión en la puerta de embarque. Pocas la exigen. La presencia de la firma no modifica el contenido del cuerpo.

Por qué publicar una foto de tu tarjeta de embarque es arriesgado

La combinación de nombre del pasajero + PNR (la referencia de reserva de 7 caracteres) funciona como una contraseña en la mayoría de las aerolíneas. Las consultas de «gestionar mi reserva» aceptan esos dos campos como prueba de identidad. Con ellos, un atacante puede:

Cambiar tu asignación de asiento, o sacarte del vuelo.
Cancelar una mejora de clase gratuita o eliminarte de la lista de espera de upgrades.
Ver tus datos de contacto, incluidos el teléfono y el correo electrónico de la reserva.
Redirigir millas de viajero frecuente (en algunas aerolíneas, con pasos adicionales).
Ver tus otras reservas en la misma aerolínea (en algunas aerolíneas).
Construir un correo de phishing dirigido: «Hola [tu nombre], tu vuelo United 123 SFO → JFK del 7 de septiembre ha sido reprogramado, haz clic aquí para confirmar», que menciona detalles reales de tu itinerario. El destinatario tiene muchas más probabilidades de hacer clic que ante un correo de phishing genérico.

Varias aerolíneas han respondido a incidentes pasados añadiendo verificación de identidad multifactor al flujo de gestión de reservas. Muchas no lo han hecho.

El ataque de redirección de millas ha sido documentado en múltiples ocasiones. Pasajeros que publicaron fotos de su tarjeta de embarque en Twitter o Instagram han perdido upgrades, visto sus reservas modificadas y recibido mensajes de phishing con detalles exactos de su itinerario en cuestión de horas.

Qué muestra nuestro escáner y cómo se enmascara el PNR

Visible por defecto

Nombre del pasajero (nombre apellido), aerolínea y número de vuelo (sin ceros, p. ej. «AA123»), ruta (SFO → JFK), fecha en formato ISO (día juliano expandido con avance de año inteligente), asiento (sin ceros, p. ej. «12A»), clase de cabina, número de secuencia, estado (con etiqueta legible: «Embarcado», «Acceso al salón», etc.). Las tarjetas de embarque con múltiples segmentos muestran etiquetas de fila por segmento.

Sensible (toque para revelar)

El PNR se enmascara mediante el mismo componente de toque para revelar que usamos para contraseñas y secretos de 2FA. Una captura de pantalla del resultado sin tocar el botón de revelar no expone la referencia de reserva. El número de viajero frecuente, cuando está presente en la sección condicional, no es extraído en absoluto por el analizador del servidor: es un identificador estable que vincula múltiples viajes, y mostrarlo en una página de resultados comprometería la privacidad del usuario.

Verificar tu propia tarjeta de embarque

Tres razones legítimas por las que la gente escanea la suya:

Confirmar que los datos son correctos tras una reemisión. Las aerolíneas ocasionalmente cometen errores tipográficos en el asiento o el número de vuelo.
Verificar el upgrade o el estado que te indicó el agente de puerta; el byte de estado del pasajero es la fuente de verdad.
Recuperar un PNR extraviado cuando ya no tienes el correo de confirmación de la reserva pero conservas una captura de pantalla de la tarjeta de embarque.

El escáner funciona en tu navegador; solo el texto decodificado llega a nuestro servidor (no la imagen). El veredicto oculta el PNR por defecto. Si capturas el veredicto para tus registros, el PNR permanece oculto a menos que lo reveles explícitamente antes de la captura.

Relacionado

Pruébalo con tu tarjeta de embarque

Fotografía el código de barras (o usa la cámara en la página del escáner) y súbelo. El resultado muestra cada segmento de tu itinerario con el PNR enmascarado.

Abrir escáner →