What's encoded in a Wi-Fi QR code?

A Wi-Fi QR uses the WIFI: URI scheme (originally a ZXing convention, since standardized by the Wi-Fi Alliance). It encodes the network name (SSID), security type (WPA / WPA2 / WPA3 / WEP / nopass for open), the password, and a hidden-network flag. WPA2-Enterprise networks also carry an EAP method, an identity, an anonymous identity, and a phase-2 method.

Is it safe to scan a Wi-Fi QR at a café or hotel?

Usually, but verify two things: (1) the network name (SSID) matches what the venue advertises, and (2) the security type is WPA2 or WPA3, not WEP (broken) or 'nopass' (open). A fake QR can advertise a network name like 'Starbucks-WiFi-Free' that looks plausible but routes you to an attacker's hotspot.

What's the 'evil twin' attack?

An attacker sets up a Wi-Fi hotspot with a name that matches or closely mimics the legitimate venue's network. They print or sticker a QR code containing that SSID. Customers scan, connect, and route their traffic through the attacker. Common in airports, hotels, and conference centres. Our scanner flags lookalike SSIDs against a list of known high-value targets (Starbucks, McDonald's, airport-free-wifi patterns, hotel chain names).

Are open Wi-Fi QRs (no password) dangerous?

Open networks aren't dangerous to join, your phone uses HTTPS to encrypt traffic anyway, but they ARE highly impersonable. Anyone with a Wi-Fi router and 10 minutes can stand up a fake 'Coffee Shop Free WiFi' next to a real coffee shop. If you must use open Wi-Fi, double-check that the SSID matches what the venue posts, and consider a VPN. Or just use your mobile data, modern plans usually have it.

Estándares · QR de credenciales Wi-Fi

¿Es seguro escanear este código QR de Wi-Fi?

Un QR de Wi-Fi une tu teléfono a la red cuyo nombre está dentro del código, sin más. El peligro no es el formato QR (está estandarizado y es inofensivo por sí solo), sino el SSID. Un QR con un nombre como «Starbucks-WiFi-Free» podría llevarte a un punto de acceso falso en el aparcamiento. La defensa es leer el nombre de la red ANTES de pulsar Conectar.

Inspeccionar un QR de Wi-Fi → Todos los estándares →

¿Cuál es el formato?

El estándar es el esquema URI WIFI:, introducido originalmente por el proyecto ZXing y adoptado por la Wi-Fi Alliance. Un payload completo tiene este aspecto:

WIFI:T:WPA2;S:CafeWiFi;P:hunter2;H:false;;

Los campos son pares clave-valor separados por punto y coma. Todas las aplicaciones de cámara de teléfonos modernos reconocen este formato y ofrecen unirse a la red.

Para WPA2-Enterprise (Wi-Fi corporativo o de campus), el formato se amplía con tres campos más: método EAP (PEAP / TLS / TTLS), identidad (tu nombre de usuario), identidad anónima (la identidad EAP exterior) y método de autenticación de fase 2.

Campo por campo

T, Tipo de seguridad

WPA, WPA2, WPA3, WEP o nopass (abierta). WEP está comprometido; los teléfonos modernos pueden negarse a conectarse. nopass significa que la red es abierta sin cifrado en la capa de enlace.

S, SSID (nombre de red)

El nombre de red que tu teléfono muestra después de conectarse. El campo más importante que debes verificar. Compáralo con lo que el local anuncia en material impreso o en señales.

P, Contraseña

La clave precompartida para redes de clase WPA. Ausente para nopass.

H, Red oculta

true si la red no difunde su SSID. Las redes ocultas requieren búsqueda activa; no son inherentemente más seguras, a menudo menos.

E, Método EAP (Enterprise)

Para redes WPA2/3-Enterprise: PEAP, TLS, TTLS, PWD. Determina cómo tu teléfono se autentifica ante el servidor de autenticación de la red.

I, Identidad (Enterprise)

Tu nombre de usuario en la red Enterprise. Algunos locales codifican una identidad de invitado aquí; las redes corporativas esperan tu nombre de usuario real.

A, Identidad anónima (Enterprise)

La identidad exterior visible durante el handshake EAP. Se usa para privacidad; la identidad real está cifrada dentro del túnel.

PH2, Método de fase 2 (Enterprise)

Para TTLS / PEAP: el método de autenticación del túnel interior, generalmente MSCHAPV2.

El ataque del gemelo malicioso

La receta:

El atacante instala un router Wi-Fi (o un teléfono en modo punto de acceso) cerca de un local objetivo: una cafetería, una puerta de aeropuerto, el vestíbulo de un hotel, un centro de conferencias.
Configura el SSID para que coincida con o imite la red del local: Starbucks_WiFi_2, FREE_AIRPORT_WIFI, HotelGuests_5G.
Imprime un QR para esa red falsa y lo pega en algún lugar plausible: bajo el borde de una mesa, junto a un enchufe, en una ventana.
Escaneas, tu teléfono se une a su punto de acceso. El atacante proxifica tu tráfico hacia internet real para que nada parezca roto, pero ve cada nombre de host SNI del handshake HTTPS (qué sitios visitas), cada consulta DNS y cualquier tráfico no cifrado.

Las aplicaciones modernas usan HTTPS, por lo que las credenciales y el contenido están cifrados. Pero:

El SNI revela qué sitios visitas (con ClientHello cifrado no lo hace, pero pocos clientes lo aplican).
El DNS a través de la red del atacante revela tus consultas a menos que uses DoH / DoT.
Las aplicaciones que recurren a HTTP por cualquier motivo (APIs heredadas, errores de anclaje de certificados, sondeos de portal cautivo) filtran datos.
El atacante puede servir páginas de portal cautivo falsas que solicitan credenciales que normalmente escribirías en otro lugar.

Nuestro escáner marca los SSIDs que parecen objetivos de alta suplantación, nombres de marcas conocidas con confusables decodificados, como sospechosos para que compruebes el nombre de la red antes de unirte.

Qué muestra nuestro escáner

Arrastra un QR de Wi-Fi (imagen, pegar o cámara) a nuestro escáner. El veredicto muestra:

Red (SSID): léela con atención y compárala con lo que anuncia el local.
Tipo de seguridad: WPA2 / WPA3 / WEP / Abierta. Las redes abiertas o WEP reciben una advertencia.
Contraseña: tocar para revelar (campo sensible). Útil para añadir a un gestor de contraseñas.
Indicador de red oculta: Sí / No.
Método EAP + identidad + fase 2: para redes Enterprise, se muestra para que puedas confirmar que el método de autenticación coincide con lo que TI te indicó.
URLs incrustadas en el SSID o la contraseña: algunos atacantes meten URLs de phishing en el campo de contraseña; las marcamos.

El escáner se ejecuta en tu navegador; solo el texto decodificado llega a nuestro servidor para la verificación de seguridad, no la imagen.

Antes de pulsar Conectar

¿El SSID coincide exactamente con lo que anuncia el local? Los similares (caracteres de más, letras cambiadas, «Starbucks_2») son la señal de ataque.
¿La seguridad es WPA2 o WPA3? Las redes abiertas y WEP no son inherentemente peligrosas, pero SÍ pueden ser suplantadas.
Si es una red Enterprise, ¿te informó TI de que debías esperar exactamente este método EAP y esta identidad?
¿Tienes datos móviles de todas formas? Si es así, considera simplemente usarlos. Los planes móviles modernos suelen superar al Wi-Fi del local tanto en velocidad como en privacidad.
¿La contraseña del local se rota regularmente? Muchos cafés imprimen la contraseña en una pizarra; un sticker QR antiguo en una ventana puede tener una contraseña que ya fue cambiada.

Relacionado

Inspeccionar un QR de Wi-Fi

Arrastra la imagen del QR, pega la cadena WIFI: o usa la cámara. El veredicto muestra el nombre de la red, el tipo de seguridad, la contraseña enmascarada y marca similares frente a SSIDs de marcas de alta suplantación.

Abrir escáner →