Técnico

QR Code Forense

Análisis forense de códigos QR (Quick Response) para extraer URLs, datos embebidos, historial de generación, metadatos de creación y rastreo de origen en investigaciones de phishing, fraudes, falsificación de documentos o suplantación de identidad.

8 min de lectura

¿Qué es el Análisis Forense de Códigos QR?

El análisis forense de códigos QR es la técnica de investigación digital que examina códigos QR (Quick Response) para:

  1. Extraer datos embebidos - URL, texto, contactos, WiFi credentials
  2. Detectar QR maliciosos - Phishing, malware, redirecciones fraudulentas
  3. Rastrear origen - Servicio generador, fecha de creación, autoría
  4. Documentar evidencia - Preservar QR como prueba forense
  5. Reconstruir fraudes - Estafas mediante QR falsos
Contexto de Uso

Los QR han explotado en uso post-pandemia: pagos, menús digitales, acceso a eventos, verificación de documentos. Esto ha generado nuevos vectores de fraude: QR de phishing en cajeros, QR falsos en parquímetros, suplantación de QR de pago en restaurantes, certificados COVID falsos con QR.

Anatomía de un Código QR

Estructura Técnica

Un código QR contiene:

┌─────────────────────────────┐
│ ■■■■■■■   ■ ■■   ■■■■■■■   │  ← Position markers (3 esquinas)
│ ■     ■ ■■    ■■ ■     ■   │
│ ■ ■■■ ■  ■■■  ■  ■ ■■■ ■   │
│ ■ ■■■ ■ ■  ■■■   ■ ■■■ ■   │  ← Timing patterns
│ ■ ■■■ ■   ■■ ■   ■ ■■■ ■   │
│ ■     ■ ■■  ■■■  ■     ■   │
│ ■■■■■■■ ■ ■ ■ ■  ■■■■■■■   │  ← Alignment patterns
│         ■■■■■■■■           │
│ ■ ■■  ■■■  ■■ ■■■  ■ ■■■  │  ← Datos embebidos
│  ■■■ ■  ■■■■  ■  ■■■  ■   │
│ ■  ■■  ■■ ■■■  ■  ■ ■■ ■  │  ← Error correction
│         ■ ■  ■   ■ ■■ ■■  │
│ ■■■■■■■  ■■■■ ■■■■  ■  ■  │  ← Format information
└─────────────────────────────┘

Componentes forenses clave:

  • Format information: Nivel de corrección de errores (L, M, Q, H)
  • Version: Tamaño del QR (21x21 a 177x177 módulos)
  • Data capacity: Hasta 4,296 caracteres alfanuméricos
  • Error correction: 7-30% de redundancia

Tipos de Datos en QR

TipoEjemploUso Forense
URLhttps://ejemplo.com/pagoPhishing, fraudes de pago
Texto planoCuenta: ES12 3456 7890Documentos, instrucciones
vCardContacto completoSuplantación de identidad
WiFiSSID + passwordAcceso no autorizado a redes
GeolocalizaciónGPS coordinatesRastreo de ubicaciones
Emailmailto:phishing@...Campañas de spam
SMSSMSTO:+34XXX:TEXTOFraudes SMS premium
PagoBitcoin address, SEPAFraudes financieros

Técnicas de Análisis Forense de QR

1. Extracción de Datos Embebidos

Herramientas:

  1. Decodificación básica

    # ZBar (herramienta CLI)
zbarimg codigo_qr.png

# Output ejemplo:
QR-Code:https://bit.ly/3xY2kL9

  2. Decodificación con metadatos

    # Python con pyzbar
from pyzbar.pyzbar import decode
from PIL import Image

qr_data = decode(Image.open('codigo_qr.png'))
print(f"Tipo: {qr_data[0].type}")
print(f"Datos: {qr_data[0].data.decode()}")
print(f"Posición: {qr_data[0].rect}")

  3. Análisis de redirecciones

    # Seguir cadena de redirecciones sin ejecutar
curl -sI https://bit.ly/3xY2kL9 | grep -i location

2. Análisis de Metadatos de Imagen

Los QR se distribuyen como imágenes (PNG, JPG), que contienen metadatos EXIF:

# ExifTool
exiftool codigo_qr.png

# Output relevante:
File Modification Date/Time : 2025:03:15 14:23:45
Software                     : Adobe Photoshop CC 2024
Creator Tool                 : QR Code Generator v2.1
GPS Latitude                 : 40.4168° N
GPS Longitude                : 3.7038° W

Evidencia forense de metadatos:

  • Software: Qué herramienta generó la imagen
  • Fecha: Cuándo se creó el archivo
  • GPS: Dónde se generó (si el dispositivo tenía GPS)
  • Autor: Nombre del usuario (si no se limpió)
  • Historial de edición: Capas de Photoshop, modificaciones
Caso Real

En un caso de suplantación de QR de pago en restaurante, los metadatos EXIF revelaron que el QR falso fue generado con “QR-Code-Monkey” y editado con Photoshop el día anterior al fraude. El GPS indicó ubicación a 2km del restaurante. La combinación de evidencia llevó a identificar al autor.

3. Detección de QR Maliciosos

Indicadores de QR sospechoso:

URL acortada (bit.ly, tinyurl) - Oculta destino real ✗ Dominio recientemente registrado - Creado días antes ✗ Certificado SSL inválido - Sin HTTPS o certificado caducado ✗ Múltiples redirecciones - QR → acortador → acortador → destino ✗ Errores de ortografía - amaz0n.com, paypa1.com ✗ Solicitud inmediata de datos - Pide credenciales sin contexto

Análisis seguro:

  1. Escanear en sandbox

    • Usar VM aislada o herramienta online (VirusTotal)
    • NUNCA escanear QR sospechoso con móvil personal

  2. Analizar URL sin acceder

    # Expandir URL acortada
curl -sIL https://bit.ly/abc123 | grep -i location

# Verificar edad del dominio
whois dominio-sospechoso.com | grep "Creation Date"

# Verificar SSL
echo | openssl s_client -connect dominio.com:443 2>/dev/null | openssl x509 -noout -dates

  3. Comparar con bases de datos de phishing

    • VirusTotal URL scanner
    • PhishTank database
    • Google Safe Browsing API

4. Rastreo de Origen del QR

Método 1: Identificar Servicio Generador

Muchos generadores de QR tienen patrones visuales únicos:

ServicioCaracterísticas Distintivas
QR-Code-Generator.comLogo pequeño en esquina (versión gratis)
BitlyPatrón de píxeles distintivo + URL bit.ly
Google Charts APIFormato específico, sin logo
QR Code MonkeyOpciones de color/diseño avanzadas

Método 2: Análisis de QR Dinámicos

Los QR dinámicos (que cambian destino sin cambiar imagen) dejan rastro:

QR físico: https://qr.ejemplo.com/abc123
          ↓ (solicitud al servidor del proveedor)
Destino actual: https://destino-real.com/promo

Evidencia forense:

  • Logs del servidor QR (proveedor puede tener IP de creación)
  • Historial de cambios de destino
  • Estadísticas de escaneos (ubicaciones, dispositivos)

Método 3: Análisis de Imagen Original vs Reproducción

Si tienes QR original (foto del físico) vs QR digital:

  • Comparar resolución, compresión, artefactos
  • Detectar si fue impreso, fotografiado, o generado digitalmente
  • Análisis de perspectiva (QR fotografiado tiene distorsión)

Casos de Uso Forense

Caso 1: QR Falso en Parquímetro (Fraude de Pago)

Situación: Ciudadanos denuncian cargos fraudulentos tras pagar estacionamiento con QR pegado en parquímetro

Análisis forense:

  1. Preservar evidencia física

    • Fotografiar QR in situ (con contexto del parquímetro)
    • Retirar adhesivo con QR falso
    • Fotografiar QR oficial debajo

  2. Análisis del QR falso

    Decodificación: https://bit.ly/pago-parking-mad
↓ Redirección: https://pag0-parkingmadrid.com
↓ Dominio registrado: 2025-03-10 (5 días antes del fraude)
↓ Hosting: Namecheap (Panamá)
↓ Certificado SSL: Self-signed (no confiable)

  3. Metadatos de imagen QR

    Software: QR Code Generator v1.2.3
Creation Date: 2025-03-14 23:45:12
GPS: 40.4235° N, 3.6978° W (café a 500m del parquímetro)

  4. Logs del servidor fraudulento

    • Solicitud judicial a Namecheap
    • IP de registro del dominio
    • Logs de pagos recibidos

Resultado: Identificación del autor mediante IP + GPS de metadatos + análisis de pagos

Caso 2: Certificado COVID Falso con QR

Situación: Sospecha de certificado de vacunación falso con código QR no oficial

Análisis forense:

  1. Decodificación del QR

    • Extraer datos del QR (formato EU Digital COVID Certificate)
    • Verificar firma digital del certificado

  2. Validación criptográfica

    # Los certificados oficiales están firmados digitalmente
# Verificar firma con clave pública de autoridad emisora
openssl dgst -sha256 -verify pubkey.pem -signature cert.sig certificado.json

  3. Comparación con QR oficial

    • Estructura de datos diferente
    • Falta firma digital válida
    • Información inconsistente (fechas, lotes de vacuna inexistentes)

  4. Rastreo del generador

    • Identificar software usado para crear QR falso
    • Analizar si usó plantilla online o software específico

Resultado: Certificado falso detectado por ausencia de firma criptográfica válida

Caso 3: Phishing via QR en Correo Físico

Situación: Empresa recibe cartas físicas con QR que supuestamente llevan a portal de RRHH, pero es phishing

Análisis forense:

  1. Análisis del QR

    URL: https://tinyurl.com/rrhh-portal
→ Destino real: https://rrhh-empresa-verificaci0n.com

  2. Indicadores de phishing

    • Dominio con “0” en lugar de “o”
    • Registrado hace 3 días
    • Solicita credenciales de acceso inmediatamente
    • Certificado SSL gratis (Let’s Encrypt), no corporativo

  3. Análisis del documento físico

    • Papel de baja calidad vs papelería corporativa oficial
    • Logo ligeramente diferente (vectorización imperfecta)
    • Dirección de remite falsa

  4. Rastreo de impresión

    • Análisis forense de papel/tinta (si es crítico)
    • Yellow dots (puntos amarillos de tracking de impresoras láser)

Resultado: Campaña de phishing dirigida, evidencia física + digital

Herramientas Forenses para QR

Decodificadores

HerramientaPlataformaCaracterísticas
ZBarCLI/PythonRápido, sin GUI
pyzbarPythonProgramático, automatización
QR ReaderOnlineAnálisis rápido sin instalación
VirusTotalWebAnálisis + threat intelligence

Análisis de Seguridad

HerramientaUso
URLScan.ioAnálisis de URL de destino con screenshot
PhishTankBase de datos de phishing conocido
VirusTotalAnálisis antivirus de destino
WHOISInformación de registro de dominio

Metadatos

HerramientaUso
ExifToolExtracción exhaustiva de metadatos
Jeffrey’s Image Metadata ViewerOnline, rápido
ForensicallyAnálisis forense visual de imágenes

Preservación Forense de QR

Protocolo de Preservación

  1. Fotografía in situ

    • Foto de contexto (QR en su ubicación)
    • Foto detalle del QR (alta resolución)
    • Incluir escala (regla) y referencia de color

  2. Captura digital

    # Calcular hash de la imagen
sha256sum qr_evidencia.png > qr_hash.txt

# Capturar pantalla del escaneo
zbarimg qr_evidencia.png | tee qr_datos.txt

# Timestamp forense
date -Iseconds >> qr_metadatos.txt

  3. Preservación física (si aplica)

    • Si el QR está en adhesivo/papel, preservar en bolsa de evidencia
    • Evitar doblar o dañar
    • Documentar cadena de custodia

  4. Análisis de destino

    # Capturar HTML de destino (sin ejecutar JS)
wget --user-agent="Mozilla/5.0" -O destino.html "URL_DEL_QR"

# Screenshot automatizado
pageres "URL_DEL_QR" --filename=destino_screenshot

# Calcular hashes
sha256sum destino.html > destino_hash.txt
NUNCA Escanear QR Sospechoso Directamente

Si sospechas que un QR es malicioso, NUNCA lo escanees con tu móvil personal. Usa decodificador sin conexión, VM aislada, o herramientas online con sandboxing. Podrías infectar tu dispositivo o alertar al atacante.

Limitaciones del Análisis Forense de QR

❌ Limitación 1: QR Sin Metadatos

Problema: QR generados con herramientas simples no tienen metadatos únicos

Mitigación: Analizar URL de destino, logs de servidor, patrones visuales del generador

❌ Limitación 2: QR Dinámicos Cambiados

Problema: Si el QR dinámico cambió su destino después del fraude, la evidencia actual no refleja el destino malicioso original

Mitigación: Solicitar logs al proveedor del servicio QR (requiere orden judicial)

❌ Limitación 3: Anonimato del Generador

Problema: Muchos servicios de QR no requieren registro, imposible rastrear autor directo

Mitigación: Análisis indirecto (IP de acceso al sitio, pagos recibidos, metadatos de imagen)

❌ Limitación 4: QR Impreso vs Digital

Problema: Un QR fotografiado tiene pérdida de calidad, puede no decodificarse correctamente

Mitigación: Mejorar imagen (contraste, nitidez), usar decodificadores robustos (ZBar tiene alta tolerancia)

Conclusión

El análisis forense de códigos QR es una disciplina emergente impulsada por el uso masivo de QR en pagos, verificación de documentos y acceso a servicios. La combinación de análisis de datos embebidos, metadatos de imagen, rastreo de redirecciones y análisis de seguridad permite detectar fraudes, phishing y suplantación de identidad mediante QR.

Última actualización: 26 de enero de 2026 Categoría: Técnico Código: QRC-001

Artículos relacionados:

Preguntas Frecuentes

¿Qué información se puede extraer de un código QR en análisis forense?

URL de destino, texto embebido, datos de contacto (vCard), coordenadas GPS, configuración WiFi, y en el análisis de la imagen: metadatos EXIF (fecha creación, dispositivo), historial de edición, y mediante técnicas avanzadas, posible origen del generador usado.

¿Se puede rastrear quién creó un código QR?

Directamente del QR no (no tiene firma digital), pero mediante análisis forense se puede: identificar el servicio generador (QR-Code-Generator.com, Bitly, etc.) por patrones visuales, extraer metadatos EXIF de la imagen QR, analizar logs del servidor de destino, y en casos de QR dinámicos, solicitar logs al proveedor del servicio.

¿Cómo se detecta si un QR es malicioso?

Escaneando el QR en entorno aislado (sandbox), analizando la URL de destino (acortadores sospechosos, dominios recientemente registrados), verificando certificados SSL, comparando con bases de datos de phishing, y analizando la cadena de redirecciones (QR → acortador → sitio final).

Términos Relacionados

Perito Informático

Profesional experto en tecnología que analiza evidencias digitales y elabora informes periciales con validez legal para procedimientos judiciales.

Evidencia Digital

Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.

Metadatos

Datos sobre los datos: información adicional embebida en archivos digitales que describe cuándo, dónde, cómo y por quién fueron creados o modificados.

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp