¿Te están trackeando los generadores de códigos QR? Cómo verificarlo

Crear un código QR parece una operación inocua: rellenas un formulario, te dan una imagen. Lo que no se ve es qué pasa con los datos que introdujiste — si se quedan en tu navegador o viajan al servidor del proveedor.

Para WiFi, vCard, pagos y cualquier dato personal, esa diferencia importa.

Respuesta rápida

• Los generadores online pueden trackear dos cosas distintas: los datos que tú introduces (contraseña, contacto, URL) y quién escanea el QR después.
• El tracking de datos introducidos depende de si la generación es server-side (los datos viajan al servidor) o client-side (todo ocurre en tu navegador).
• El tracking de escaneos solo es posible en QR dinámicos: el QR apunta a una URL del proveedor que registra cada acceso.
• Puedes verificarlo en 30 segundos con las DevTools de tu navegador (pestaña Network) mientras generas el QR.
• Si introduces datos sensibles (WiFi, vCard, pagos), usa generadores client-side, sin registro y, idealmente, open source.

Qué tipos de tracking existen en un generador QR

Hay tres planos distintos:

1. Tracking de los datos que tú introduces

Cuando rellenas el formulario (SSID, contraseña, contacto, URL), esa información puede:

• Quedarse en tu navegador y nunca enviarse a ningún sitio (generación client-side).
• Viajar al servidor del proveedor para construir la imagen y devolvérsela (generación server-side). Allí puede quedar en logs, analytics o bases de datos.

La mayoría de generadores online son server-side por defecto, porque es la implementación más fácil. Eso no significa que el proveedor sea malicioso, pero sí que tus datos pasan por su infraestructura.

2. Tracking del usuario que genera el QR

Igual que cualquier sitio web, el generador puede tener:

• Analytics (Google Analytics, Plausible, Matomo, etc.).
• Cookies de terceros y píxeles publicitarios (Meta, TikTok, Google Ads).
• Fingerprinting del navegador para identificarte sin cookies.
• Cuenta obligatoria que liga todos los QR que generas a tu identidad.

Esto es independiente de la generación del QR en sí, pero forma parte del paquete.

3. Tracking de quién escanea el QR

Solo aplica a QR dinámicos: el código apunta a una URL corta del proveedor (qr.xx/abc123) que redirige al destino real. Cada redirección queda registrada con:

• Hora exacta del escaneo.
• IP del usuario (y por tanto ubicación aproximada).
• Tipo de dispositivo, sistema operativo, navegador.
• Referer si existe.

En un QR dinámico el tracking de escaneos no es accidental — es la razón de ser del producto.

Cómo detectar si tu generador trackea (sin programar)

Tres minutos con cualquier navegador moderno:

1. Abre el generador que vayas a usar.
2. Pulsa F12 (o clic derecho → Inspeccionar) y ve a la pestaña Network (Red).
3. Pulsa el botón rojo de grabar / mantén la pestaña abierta y limpia (botón ⌀).
4. Rellena el formulario del QR con datos cualquiera y dale a "generar".
5. Mira las peticiones que aparecen en la lista.

Qué buscar:

• Si no aparece ninguna petición nueva durante la generación: el QR se está creando 100% en tu navegador. Cliente-side. ✅
• Si aparece una petición tipo POST a una URL del proveedor justo al pulsar generar, y entre los datos enviados están tus campos (SSID, contraseña, etc.): tus datos están viajando al servidor. Server-side. ❌ para datos sensibles
• Si la respuesta es la imagen del QR (PNG o SVG) generada en backend: confirma que el servidor está construyendo el código.

Adicionalmente revisa si la web carga scripts de Google Analytics, Meta Pixel u otros trackers (los verás como peticiones a google-analytics.com, googletagmanager.com, connect.facebook.net, etc.).

Señales rojas evidentes

Sin necesidad de DevTools, hay indicadores rápidos:

• Te exigen registro o cuenta para generar un QR básico.
• Tienen plan "PRO" con tracking detallado de escaneos: si esa es su línea de negocio, el tracking está en el ADN del producto.
• El QR descargado lleva su URL en vez de la tuya (qr.xx/abc123 en vez de tudominio.com): es un QR dinámico, automáticamente trackeado.
• La política de privacidad menciona compartir datos con terceros, partners de marketing o uso publicitario.
• No publican el código fuente y la herramienta es gratis sin modelo claro: alguien paga por eso, normalmente con tus datos.

Cómo verificar que un generador es client-side

Checklist rápida:

• Funciona offline: desconecta tu wifi, recarga la página y prueba a generar. Si funciona, es client-side. Si no carga ni te deja generar, depende del servidor.
• No hay peticiones de red al generar (verificable con DevTools como arriba).
• No requiere cuenta ni email.
• El código fuente es inspeccionable (open source o JavaScript no ofuscado).
• El destino del QR es exactamente lo que escribes, no una URL acortada del proveedor.

Si los cinco puntos se cumplen, el generador no puede trackearte ni a ti ni a quien escanee.

Por qué importa más en WiFi, vCard y pagos

Para una URL pública (la web de tu negocio, un PDF público), que el generador "vea" tu URL no añade riesgo: ya iba a ser pública.

Pero hay tres tipos de QR donde el tracking es crítico:

• WiFi: la contraseña de tu red. Si viaja al servidor del proveedor, queda fuera de tu control.
• vCard: teléfono personal, email, dirección. Datos personales protegidos por GDPR.
• Pagos / Bitcoin: wallet, IBAN, datos bancarios. El nivel más alto de sensibilidad.

Para estos casos, usar un generador client-side no es paranoia — es higiene básica.

Open source vs propietario

Que un generador sea open source no garantiza por sí mismo que sea más privado, pero sí permite:

• Auditar el código y verificar que no hay tracking oculto.
• Confirmar la lógica client-side sin tener que confiar en la palabra del proveedor.
• Hostearlo tú mismo si quieres control total.

Un generador propietario puede ser igualmente privado, pero exige confiar en lo que el proveedor declara. Sin código auditable, no hay forma de verificarlo.

En la práctica: open source + sin cuenta + sin red al generar = el estándar más alto de privacidad razonable.

En resumen

Casi todos los generadores online de QR procesan tus datos en su servidor. Eso es aceptable para una URL pública, pero arriesgado para WiFi, vCard o pagos. Para verificarlo en 30 segundos, abre DevTools, ve a Network y mira si tu navegador envía peticiones cuando generas el QR. Si no envía nada, es client-side y tu contenido nunca sale de tu dispositivo.

QRcito genera todos los QR íntegramente en tu navegador, sin cuenta, sin red durante la generación y sin trackers de terceros. Puedes verificarlo abriendo DevTools antes de pulsar generar.

Preguntas frecuentes

¿Qué significa "client-side" en un generador de QR? Que el código JavaScript que construye la imagen del QR se ejecuta dentro de tu navegador. Los datos que introduces nunca se envían a ningún servidor. La generación es local, instantánea y sin red.

¿Es legal que un generador de QR guarde mis datos? Si su política de privacidad lo declara y tú la aceptas, sí. El problema es que muchas políticas son vagas o no cubren los datos de los QR específicamente. Ante la duda, asume que sí guardan algo y elige otra herramienta si los datos son sensibles.

¿Un QR estático puede trackear quién lo escanea? No. El QR estático no pasa por ningún servidor: la información va directa del código al lector. Solo los QR dinámicos (con URL redirector intermedia) pueden trackear escaneos.

¿Cómo afecta el GDPR a los generadores de QR? Si introduces datos personales (nombre, email, teléfono en una vCard) en una herramienta server-side basada en la UE o que sirve a usuarios europeos, el proveedor es responsable de su tratamiento bajo GDPR. Para minimizar riesgo y obligaciones, lo simple es usar generadores client-side.

¿Por qué QRcito puede ofrecer todo gratis sin trackear? Porque la generación de QR es un proceso ligero que no requiere infraestructura cara. Al ser client-side, no hay costes de servidor por usuario; al no haber tracking ni cuentas, no hay producto que vender. El sitio se mantiene con coste muy bajo, sin necesidad de monetizar a los usuarios.