Los restaurantes los tienen en las mesas, los hoteles los ofrecen para mostrar sus servicios y los museos los usan para dar instrucciones. Los códigos QR están de moda, pero ¿son seguros?
Un código QR es un tipo de código de barras que está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Existen desde 1994 y se puede almacenar hasta 4.296 caracteres alfanuméricos.
Los que se utilizan habitualmente suelen contener menos caracteres, lo que permite una fácil descodificación con la cámara de un móvil inteligente.
En la década de los 90, un ingeniero de la empresa Denso Wave, suministradora de componentes para Toyota, quiso mejorar el sistema de etiquetado de las cajas de materiales que se distribuían por la fábrica, relatan desde la Universitat Oberta de Catalunya (UOC).
Fue así que Masahiro Hara creó un nuevo sistema que superaba a los códigos de barra que llamó "quick response" (de respuesta rápida). Un día, jugando al típico juego japonés Go se le ocurrió cómo utilizar esos puntos blancos y negros para codificar la información.
Aunque estos cuadrados existen desde 1994, no se convirtieron en un "nombre verdaderamente familiar" hasta la era Covid-19. Hoy, dice la compañía de ciberseguridad ESET, los QR se pueden ver por todas partes y se utilizan para todo, desde mostrar menús de los restaurantes hasta facilitar las transacciones sin contacto.
Imagen de un celular escaneando un código QR. PayPhone
Arma de doble filo
Las cadenas de texto que se codifican en un QR pueden contener diversos datos y los códigos pueden usarse para abrir webs, descargar un archivo, añadir un contacto, conectarse a una red Wi-Fi e incluso realizar pagos. Su versatilidad puede ser un arma de doble filo.
Su uso generalizado ha llamado la atención de los estafadores, que los pueden usar con fines malintencionados. Estos son algunos riesgos de los códigos QR, según ESET:
- Los atacantes podrían manipular fácilmente el QR para engañar al usuario y hacer que descargue un archivo PDF malicioso o una aplicación móvil fraudulenta
- También podrían modificar un QR de una transacción financiera con sus propios datos y recibir pagos en su cuenta.
- Y por si fuera poco, son capaces de pegar un código, generado para dirigir hacia una URL maliciosa, encima de un QR bueno que esté por ejemplo en un cartel de conciertos.
¿Cómo protegerse?
Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación en la Universitat Oberta de Catalunya, recomienda configurar los dispositivos para que no abran directamente los enlaces y así ver antes el URL.
También recomienda asegurarse de no introducir datos personales, por ejemplo.
"A simple vista es muy difícil saber si un QR es malicioso o no. Quizá la primera recomendación sea saber dónde está", resume Fabián Torres, de Sicpa.
"Si se descarga en el interior de un edificio oficial o en un restaurante podemos presuponer que es probable que no sea malicioso", añade.
Por el contrario, "si está en la calle en un sitio donde cualquiera puede colocarlo ya debemos empezar a tomar precauciones, especialmente si viene acompañado de una propaganda tremendamente atractiva".
Lo último