Saltar al contenido
✅ Guía de verificación

Qué es un QR firmado y cómo comprobarlo

Un QR firmado es un código cuyo enlace lleva una firma criptográfica de quien lo ha emitido. No cambia nada en el aspecto del cuadrado: el cambio es que ahora cualquiera puede comprobar, antes de abrir el enlace, qué organización lo ha creado. Aquí te explicamos qué demuestra exactamente, qué no, y cómo verificarlo en tres pasos.

Verificación en el navegador, sin app Sin cuenta Clave pública abierta

Sin instalar nada Comprobación en tu dispositivo Estándares abiertos (JWKS) GDPR y datos en la UE
Cómo verificarlo

En tres pasos, desde el navegador

1

Abre el verificador

Ve al verificador público. Se abre como cualquier web, sin instalar ninguna aplicación ni crear ninguna cuenta.

2

Pega la URL o enfoca el código

Puedes pegar el enlace del QR o enfocar el código con la cámara. Toda la comprobación pasa en tu propio dispositivo.

3

Lee el informe

Te muestra el dominio real de destino, las redirecciones y, si el código lleva firma, qué organización lo ha emitido y si la firma es válida.

Pruébalo ahora →

Cómo funciona por debajo

Clave privada, clave pública y verificación abierta

La clave privada no sale del navegador

Las claves de firma se generan en el dispositivo de quien emite los códigos. La clave privada —la que firma— no se envía nunca al servidor.

La clave pública se publica

La parte pública se publica en un formato abierto y estándar (JWKS), de modo que cualquiera —no solo Qmarque— puede comprobar las firmas. GS1 recomienda precisamente hacer descansar la confianza en el dominio de marca; esta es su pieza criptográfica.

La comprobación es local

El verificador contrasta la firma del código con la clave pública del emisor. Si coincide, el código es auténtico; si no, se delata como imitación.

Referencia del estándar: GS1 Digital Link ↗. La confianza viene del dominio de marca que hay detrás del código.

Honestidad

Qué demuestra y qué no

✅ Lo que sí

Autenticidad de emisor: qué organización ha emitido el código. Integridad de destino: que el enlace vive en el dominio de la organización y no caducará hacia manos de terceros. Y, en códigos serializados, si un mismo código ya se había visto antes.

❌ Lo que no

No demuestra que el objeto físico donde está impreso sea el original —eso es antifalsificación física, otro terreno. Y no impide que un tercero imprima su propio QR falso: la firma no detiene el ataque, impide que te suplanten ante quien verifica.

Preguntas frecuentes

Dudas habituales

¿Qué es un QR firmado?

Es un código QR cuyo enlace lleva una firma criptográfica generada con la clave privada de quien lo ha emitido. Cualquiera puede comprobar esa firma con la clave pública correspondiente y confirmar qué organización ha emitido el código.

¿Cómo verifico un QR firmado?

Con un verificador web público: pegas la URL o enfocas el código con la cámara y la comprobación se hace en tu propio navegador. Te dice el dominio real de destino y, si el código lleva firma, qué organización lo ha emitido.

¿Hay que instalar una app para verificarlo?

No. El verificador se abre en el navegador y la comprobación se hace en el propio dispositivo, sin instalar nada ni crear ninguna cuenta.

¿Qué NO demuestra un QR firmado?

No demuestra que el objeto físico donde está impreso sea el original ni impide que un tercero imprima su propio QR falso. Demuestra la autenticidad del emisor y que el destino vive en el dominio de la organización: te asegura quién lo ha hecho, no que nadie más pueda falsificar uno nuevo.

Sigue leyendo

Clúster de seguridad QR

Todo el contexto del quishing y cómo responder.

Firma tus códigos y hazlos verificables

El QR firmado viene incluido con Studio y superiores. Da a tus clientes y ciudadanos una forma de comprobar que tus códigos son tuyos, sin sobrepromesas.