Días atrás publiqué en mis redes sociales la foto de aquí arriba destacando el pasacalle. Me pareció una pieza graciosa y quise compartirla. La respuesta de mis contactos no se hizo esperar, y comenzaron a aparecer comentarios de todo tipo, muy simpáticos algunos, y otros con información precisa sobre el origen: se trata de una pieza publicitaria que, llamando la atención sobre el contenido del mensaje, tiene como objetivo final que el ocasional lector ingrese a un sitio web promocional usando su celular para leer el código QR que acompaña al cartel.
Me pareció necesario entonces, ante la presencia cada vez más amplia del código QR, abordar la cuestión de la seguridad implícita en estas acciones, explicando qué es, cuáles son los riesgos y cuáles las consideraciones a tener en cuenta en el uso seguro del código QR.
¿Qué es el código QR?
Un código QR representa gráficamente una cadena de texto, números o caracteres alfanuméricos. Un uso muy común es el QR que los negocios dan a sus clientes, que les permite acceder a diferentes servicios. La denominación QR significa Quick Response o Respuesta Rápida en nuestro idioma, porque fueron diseñados para ser descifrados y leídos rápidamente. Es similar al reconocido código de barras, pero con la posibilidad de almacenar mucha más información debido a su estructura gráfica.
Se utilizan escaneándo el código con una función integrada en la cámara del móvil o utilizando alguna aplicación para tal fin. El escáner descifrará el código conformado por barras y cuadrados, y llevará al usuario a la cuenta o sitio web oficial del negocio o aplicación que lo requiera.
En el ejemplo de la foto que motiva esta entrada, este tipo de pasacalle es una nueva modalidad utilizada para revolucionar las ventas o la visibilidad de un lugar. Aquí, el QR redirecciona a una publicidad de una pizzería local. Al ingresar al link se aclara que se trata de una broma, convirtiéndo este recurso en una modalidad usada con el fin de captar nuevos clientes.
Riesgos de seguridad
Más allá de las consideraciones que puedan hacerse sobre la publicidad encubierta, como en este caso, nos importa destacar aquí la cuestión del uso seguro del código QR. Presente tanto en los envases como en la publicidad y aún en las billeteras virtuales, hay cuestiones de seguridad que deben tenerse en cuenta a la hora de acceder a la lectura de un código QR.
¿Cuáles podrían ser los riesgos? Uno muy común son los ataques de phishing, una táctica diseñada para engañar y conseguir que un usuario revele sus datos financieros, información personal o credenciales de inicio de sesión. La modalidad es enviarle a la potencial víctima un correo electrónico, un folleto, una carta o un mensaje en las redes sociales que contenga un código QR. El estafador introduce un enlace malicioso en el código, que una vez escaneado, lo lleva a una página que creó el propio delincuente y que solicita el ingreso de datos, permitiendo al atacante robar la información.
Esto puede suceder también fuera de línea: los estafadores reemplazan los códigos auténticos por códigos falsos en establecimientos de acceso masivo como shoppings, restaurantes, hoteles, etc.
Otro de los reisgos es la descarga silenciosa de malware o código maligno. Los ciberdelincuentes tienen la capacidad de incorporar subrepticiamente enlaces fraudulentos. Las personas que escanean estos códigos podrían convertirse en víctimas de malware, de hecho, una visita al sitio web sugerido podría resultar en una descarga inadvertida, permitiéndo infecciones o robos de información.
Aunque la mayoría de las aplicaciones móviles solicitan al cliente que verifique los detalles del pago después de escanear el código, los usuarios deben prestar mucha atención a fin de no aprobar un pago fraudulento o un link que dirija a una estafa.
¿Cómo protegerse de las estafas al usar un código QR?
Es importante reconocer y prevenir los riesgos en el uso de estos códigos. Es fudamental nunca escanear un código si despierta alguna sospecha o no es confiable.
Algunas recomendaciones que sugieren los especialistas: primeramente, verificar la URL o dirección web a la que redirige dicho código. Antes de ingresar, es importantísimo verificar que la URL no presente signos sospechosos o si parece no coincidir con el nombre del negocio. Podría tratarse de una estafa.
También es fundamental, si el código QR se encuentra en un lugar público, examinar cuidadosamente en busca de signos de manipulación, como la colocación de una etiqueta adhesiva sobre el original. Si parece no encajar con su fondo, por ejemplo, entonces debemos abstenernos de escanearlo y denunciarlo inmediatamente. Y cuidado con escanear códigos QR de sitios web, carteles, volantes o revistas desconocidos, a menos que estemos seguros de que el destino es legítimo. Los estafadores pueden sustituir estos códigos y redirigir a un sitio web de phishing para robar tu información personal.
También es importante tener cuidado con las aplicaciones de terceros para escanear el código. La mayoría de los teléfonos inteligentes tienen un escáner de códigos QR en la cámara, que es más confiable y verificado por parte del fabricante. No hace falta arriesgarse con aplicaciones que no se conocen, y mucho menos si no provienen de los canales formales, como Google o Apple.
Muchas personas son reacias a utilizar el administrador de contraseñas ante el riesgo de robo o pérdida del dispositivo, pero lo cierto es que su uso posibilita reconocer un sitio, evitando que se introduzca automáticamente información sensible como el nombre de usuario y la contraseña.
Como conclusión, digamos que el código QR está cada vez más presente tanto en los envases como en la publicidad y aún en las billeteras virtuales. Hay cuestiones de seguridad que debemos tener muy en cuenta a la hora de utilizarlo.
Que la practicidad de su uso no nos traiga dolores de cabeza cayendo en alguna trampa maliciosa, simplemente prestando la debida atención.