Cómo comprobar las Content Credentials (C2PA) y verificar una foto

Respuesta rápida: Las Content Credentials (basadas en el estándar abierto C2PA) son una "etiqueta nutricional" a prueba de manipulaciones, adjuntada criptográficamente a una imagen, que registra quién la creó, qué herramientas la tocaron y si hubo IA de por medio. Para comprobarlas, abre un verificador de Content Credentials (contentcredentials.org/verify o la herramienta de inspección de Adobe), arrastra la imagen y lee el manifiesto. Nota: el C2PA solo existe si la herramienta que la creó lo añadió, y se puede eliminar, así que la ausencia no es una prueba. Coteja con EXIF y análisis forense.

En 2026, "¿esta foto es real o IA?" es una pregunta que casi todo el mundo se hace en algún momento, y las Content Credentials son la respuesta más fiable en la que la industria se ha puesto de acuerdo hasta ahora. Esta guía explica qué son, cómo comprobarlas en menos de un minuto, qué te muestra realmente el manifiesto y los límites importantes que les impiden ser un detector de mentiras mágico.

Qué son C2PA y las Content Credentials, y quién las usa

C2PA son las siglas de Coalition for Content Provenance and Authenticity, un grupo de estándares cuyos miembros incluyen a Adobe, Microsoft, Google, OpenAI, Intel y la BBC. Content Credentials es el nombre de cara al consumidor de lo mismo: un pequeño bloque de datos de procedencia firmado criptográficamente y adjunto a un archivo multimedia.

Piensa en ello como un sello a prueba de manipulaciones. Cuando una herramienta compatible con el estándar crea o edita una imagen, escribe un manifiesto firmado en el archivo. La firma significa que si alguien cambia los píxeles o el manifiesto después, el verificador puede saber que el sello fue roto. El manifiesto registra una cadena: de dónde vino el archivo, qué software lo tocó y si la IA formó parte del proceso.

Quién añade realmente Content Credentials hoy en día:

• Las apps de Adobe (Photoshop, Lightroom, Firefly) pueden adjuntarlas al exportar.
• Las cámaras de Leica, Sony y Nikon pueden firmar imágenes en el momento de la captura en ciertos modelos profesionales.
• Los generadores de IA, incluidos OpenAI (DALL-E y las imágenes de ChatGPT), Google (Gemini e Imagen) y Adobe Firefly, incrustan Content Credentials que marcan la imagen como generada por IA.
• Microsoft etiqueta las imágenes de IA producidas en sus productos.

Así que una proporción creciente tanto de fotos de cámara reales como de imágenes de IA lleva ahora esta etiqueta, que es exactamente lo que hace que valga la pena comprobarla.

Cómo comprobar las Content Credentials paso a paso

1. Abre un verificador. El oficial es contentcredentials.org/verify. Adobe también tiene una herramienta de inspección. Ambas realizan el mismo tipo de comprobación.
2. Arrastra la imagen. Arrastra el archivo sobre la página, súbelo, o pega la URL de una imagen. El verificador lee el manifiesto localmente y valida la firma.
3. Lee el resultado. Si hay un manifiesto válido presente, verás el emisor, la fecha, las herramientas usadas y cualquier marca de generación por IA. Si el archivo no tiene manifiesto, el verificador simplemente dice que no se encontraron Content Credentials.
4. Coteja. Trata el manifiesto como una entrada más, no como el veredicto. Abre el mismo archivo en nuestro visor de EXIF y la herramienta de Análisis Forense de Fotos para comparar.

Algunas plataformas ahora muestran un pequeño icono "Cr" en las imágenes que llevan credenciales; al hacer clic en él se abre la misma vista del verificador.

Qué muestra el manifiesto

Un manifiesto completo de Content Credentials puede decirte una cantidad sorprendente de cosas:

• Captura: el dispositivo o la app que originó la imagen, y a veces una marca de tiempo de captura firmada por la propia cámara.
• Ediciones: cada herramienta que modificó el archivo, en orden. Podrías ver "abierto en Photoshop, usado relleno generativo, exportado". Ese historial de edición es la parte más útil para detectar manipulación.
• Generación por IA: una marca clara cuando una imagen fue creada o sustancialmente alterada por un modelo de IA, incluido qué modelo o producto la produjo.
• Emisor: quién firmó el manifiesto, para que sepas si confiar en la fuente.

Si la firma está intacta, puedes confiar en que el historial registrado no ha sido alterado desde que se firmó. Esa es la promesa central: no "esta imagen es verdadera", sino "este es un registro verificable de lo que le ocurrió a este archivo".

Los límites (lee esta parte)

Las Content Credentials son potentes pero no absolutas, y confiar en exceso en ellas es su propio error:

• Son opcionales. Un archivo solo lleva credenciales si la herramienta que lo creó las añadió. Muchísimas fotos reales y muchísimas imágenes de IA no tienen ninguna en absoluto.
• Se pueden eliminar. Hacer una captura de pantalla de una imagen, volver a guardarla o subirla a una plataforma que vuelve a codificar los archivos (de la misma forma en que muchas plataformas eliminan los EXIF) puede borrar el manifiesto. Consulta qué plataformas de redes sociales eliminan los datos EXIF y por qué Instagram elimina los datos EXIF; la misma recodificación que descarta los EXIF a menudo descarta también el C2PA.
• La ausencia no es una prueba. Que no haya credenciales no significa "real" ni significa "falso". Solo significa que la etiqueta no está ahí.
• Una firma rota es una señal. Si el verificador informa de que el manifiesto no coincide con los píxeles, el archivo fue alterado después de firmarse. Esa es una señal de alerta significativa que merece investigarse.

También hay un viento regulatorio a favor que conviene conocer. La EU AI Act exige que el contenido generado por IA y manipulado por IA esté marcado de forma legible por máquina, y C2PA es uno de los estándares líderes que se están adoptando para cumplir con ese requisito. Esa es una razón importante por la que la adopción se está acelerando en 2026, aunque todavía no significa que cada imagen de IA con la que te cruces vaya a estar etiquetada.

Cómo complementa al EXIF y a la informática forense

Las Content Credentials responden a "¿cuál es el historial firmado de este archivo?". El EXIF y la informática forense responden a "¿qué revela el propio archivo, con etiqueta o sin ella?". Quieres las tres cosas.

• El EXIF contiene el propio registro de la cámara: fecha de captura, GPS, modelo de cámara, exposición. Arrastra cualquier foto al visor de EXIF para leerlo. Cuando falta el C2PA, el EXIF suele ser el siguiente mejor rastro de procedencia.
• La informática forense mira directamente los píxeles: patrones de compresión, análisis de nivel de error e inconsistencias que sobreviven incluso cuando todos los metadatos han desaparecido. Nuestra herramienta de Análisis Forense de Fotos y las guías sobre cómo detectar imágenes generadas por IA y cómo saber si una foto ha sido editada cubren esto.

Usa primero las Content Credentials cuando existan, porque una firma válida es una prueba sólida. Cuando estén ausentes o eliminadas, recurre al EXIF y al análisis forense. Ninguna comprobación por sí sola es definitiva, pero juntas te dan una lectura segura y defendible de la autenticidad de una foto.

En conclusión

Las Content Credentials (C2PA) son una etiqueta de procedencia a prueba de manipulaciones que dice quién creó una imagen, qué la editó y si hubo IA de por medio. Compruébalas en contentcredentials.org/verify o en la herramienta de inspección de Adobe arrastrando el archivo y leyendo el manifiesto. Recuerda que la etiqueta es opcional y eliminable, así que la ausencia no es una prueba. Confirma todo con el visor de EXIF y la herramienta de Análisis Forense de Fotos.