Usted está aquí

Por qué entrañan riesgos los códigos QR

Domingo, Enero 17, 2021

Tras una década siendo una opción minoritaria de transmisión de datos en Occidente -en Asia tienen mucho más uso-, los códigos QR de repente han irrumpido con fuerza en nuestras vidas hasta el punto de hacerse cotidianos. 

En las mesas de restaurantes, en los carteles de museos, teatros y cines, etc., esta tecnología se emplea con profusión desde que abandonamos el confinamiento para evitar la transmisión del virus por contacto físico. Así, entre mayo y septiembre del pasado año las búsquedas del término “código QR” se dispararon un 150% en España, según muestra la aplicación Google Trends. 

Pero, ¿qué sabemos realmente sobre esta tecnología? La realidad es que más bien poco; la usamos sin más, acercando la cámara del móvil al recuadro que se nos muestra en la mesa del restaurante o del tríptico promocional, y obtenemos una dirección URL que nos suele llevar a una página web informativa. 

Pero lo cierto es que no tiene por qué ser así; el código QR bien podría llevarnos a una página web fraudulenta, tal como avisaba ya en 2015 la Oficina de Seguridad del Internauta (OSI), siendo una puerta directa al robo de nuestras claves, nuestra identidad digital e incluso nuestro dinero. 

Entre los riesgos que citaba entonces este organismo se encuentran: 

  • Que la web a la que accedemos no sea lo que esperamos encontrar: que muestre contenido violento, pedófilo, drogas, armas, etc.
  • Que el código QR nos lleve a la descarga de una app que promete tener una funcionalidad, pero que en realidad nos suscribe a servicios SMS Premium, donde nos cobran arbitrariamente una cantidad dineraria. 
  • Que se descargue una aplicación capaz de explotar fallos de seguridad del sistema operativo de nuestro móvil para robarnos información privada
  • Que el código descargue automáticamente un software malicioso que ataque a nuestro dispositivo y nos haga perder toda la información almacenada: contraseñas, fotos, vídeos, documentos, etc. 

Así lo certifica también el profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universitat Oberta de Catalunya (UOC) Jordi Serra, que avisa que algunos “redirigen a páginas web de entidades bancarias fraudulentas, que son copias de las reales, y obtienen los datos para poder entrar y robar dinero, o a redes sociales, en las que pueden suplantarnos y pedir un rescate para devolver el control de las cuentas, por ejemplo”. Serra señala que el problema de seguridad de este tipo de tecnología es que “no se ve lo que representa”.

En 2015, como hemos dicho al principio, el uso de los códigos QR era todavía minoritario, y no se esperaba que llegase a ocupar su papel actual entre nosotros, tal como explica en esta entrevista su creador, el japonés Masahiro Hara. En la misma este ingeniero reconoce que no creó los QR como herramienta de enlace con internet. 

Lo hizo en cambio para mejorar la trazabilidad de los objetos en los procesos industriales. Por ejemplo, seguir el rastro de los paquetes enviados por un fabricante, una mensajería -su principal aplicación en Occidente hasta la pandemia- o pagar pequeñas cantidades, como el autobús, el cine, etc. 

Por lo tanto, Hara nunca pensó en revestir los QR de una capa de seguridad; de ahí que actualmente, cuando los encontramos por todas partes, el riesgo de ser una puerta de entrada a los ciberdelincuentes aumente. 

Así lo refleja en un artículo Becca Chambers, vicepresidenta de la empresa de ciberseguridad MobileIron en un artículo. Esta empresa también revela que si bien actualmente un 80% de los usuarios con smartphone reconoce haberlos usado alguna vez, el 72% asegura que los ha usado en el último mes y el 54% ha notado su incremento con la COVID-19. 

Es decir, los usamos más y de manera totalmente indiscriminada, a pesar de que se hayan dado casos de secuestro de cuentas de Whatsapp mediante códigos QR, tal como refleja un estudio de la empresa ESET. 

Los delincuentes lograron que la víctima mostrara el código QR de la app de Whatsapp de su móvil para copiarlo, replicarlo y activar su cuenta, haciéndose así con sus historiales. Se trata de una serie de casos que reflejan la despreocupación que en ocasiones provoca el desconocimiento sobre QR. 

De todos modos, aunque presumiblemente los restauradores que ponen sus menús en códigos QR pegados con cinta en las mesas de su local o terraza asumen ciertas cotas de seguridad, lo cierto es que no siempre pueden tener un control absoluto sobre lo que hacen ciertos clientes, que pueden suplantar el QR por uno malicioso. 

Así el Instituto Nacional de Ciberseguridad (Incibe) publicó en noviembre pasado un aviso tanto a dueños de locales como a clientes, para que se extremaran las precauciones ante los códigos QR. En dicho escrito, Incibe, recomienda

  • Comprobar de forma frecuente que los códigos QR presentes en los negocios no han sido cambiados ni modificados por terceras personas. (para clientes y dueños)
  • Elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc. (para duelos)
  • Comprobar que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos apps de lectura que permitan consultar la URL antes de abrirla. (para clientes)
  • Deshabilitar la apertura automática de enlaces al escanear un código QR. De esta manera se podrá comprobar la dirección a la que enlaza el código. Solo se abrirá en el caso de que demos permiso para acceder. (Para clientes)
  • Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio. (Para clientes)
  • En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgar el código QR por redes sociales ya que podríamos ser víctimas de un fraude.