Los códigos QR fueron incorporados a nuestra vida diaria en el año 2009. A día de hoy, son un sistema muy utilizado en nuestro día a día. Podemos encontrarlos en pasaportes y documentos, los famosos certificados COVID, publicidad y catas de bares y restaurantes. No obstante, la utilización de este tipo de códigos no está exento de problemas. Los riesgos que acompañan a los códigos QR incluyen desde ataques de phishing y ciberestafas.
Que es un código QR
El INCIBE nos explica que un código QR consiste en un código compuesto por módulos bidimensionales y compuesto por puntos diferenciados entre sí por colores de un alto contraste en los que se almacena diferente información, pudiendo ir desde unos escasos caracteres hasta varios miles. Además, estos códigos son considerados básicamente una evolución de los típicos códigos de barras.
A partir de la aparición de la reciente pandemia de Covid- 19 el uso de este tipo de elementos ha sufrido un aumento exponencial, debido a la necesidad de reducir el contacto físico de elementos entre las personas.
Los códigos QR están diseñados para ser escaneados por una cámara, como las que se encuentran en nuestro smartphone. El escaneo de códigos QR se encuentra integrado en muchas aplicaciones de cámara para Android e iOS.
Aún que habitualmente su uso transmite información fiable y legítima, este elemento ha traído algunos peligros que pueden engañar a los usuarios mediante la vulneración de su privacidad o sus datos.
los códigos QR están diseñados con lo que se denomina redundancia de datos. Es decir, que si una tercera parte del código QR se destruye o existe dificultad para leerlo, los datos aún se pueden recuperar.
Los principales riesgos que acompañan a los códigos QR
Una de las primeras cosas que debemos tener en cuenta para evitar los riesgos de los códigos QR es evitar los códigos de este tipo que nos lleguen por SMS o email. Tampoco es recomendable escanear cartelería que nos informe de ofertas y regalos o sorteos y demás.
Como siempre comento, uno de los riesgos principales a los que se enfrentan los usuarios con la utilización de este tipo de códigos es el Phishing. En esta técnica se pretende “dirigir” a un usuario a una web fraudulento que suplanta a una empresa u organización para posteriormente solicitarnos nuestros datos personales. El malware posteriormente permite que los delincuentes puedan llevar a la víctima a filtrar sus datos o información confidencial, entre otras cosas.
Un caso muy sonado en China, concretamente en el sistema de bicicletas compartidas donde estos atacantes sustituyeron los verdaderos QR por otros maliciosos. De esta forma, el pago de las bicis se hacía a los ciberdelincuentes y no a la verdadera aplicación.
Un sistema parecido es el qrljacking. Este sistema consiste esencialmente en la suplantación de un QR legítimo por otro fraudulento. Cuando lo escaneamos los delincuentes capturan nuestros credenciales de inicio sesión y pueden acceder a la información contenida dentro de nuestra cuenta.
No debemos fiarnos de que dicho código QR cuente con un logotipo que reconozcamos
Es esencial que, cuando escaneamos un código QR nos aseguremos de que la dirección web sea segura y provenga de una fuente fiable. No debemos fiarnos de que dicho código QR cuente con un logotipo que reconozcamos, ya que muchos de ellos están muy bien falsificados.
Existe una pequeña posibilidad también de que la aplicación que usemos para escanear el código QR tenga algún tipo de vulnerabilidad que permita que un código malicioso acceda a nuestro dispositivo.
Es por esto que para evitar este tipo de riesgo, es recomendable que utilicemos solamente aplicaciones de escaneo proporcionadas por el fabricante de nuestro terminal. Debemos evitar en la medida de lo posible descargar aplicaciones de códigos QR de otras fuentes.
Formas de protegerse de los riesgos de los códigos QR
En primer lugar debemos preguntarnos… ¿Nos es necesario utilizarlos? En algunos servicios de reciente creación como pueden ser el pasaporte es inevitable que hagamos uso de ellos. Pero en muchos otros casos, es posible no tener esta obligación. Antes de autorizarlos es aconsejable pensar si es realmente indispensable.
La finalidad de un código QR es proporcionar información o realizar algún tipo de pago con seguridad. Si cuando vayamos a utilizarlo nos piden datos bancarios o personales o incluso realizar una descarga de algún tipo de archivo, es posible que se trate de algún tipo de estafa.
Debemos tener cuidado con los códigos QR que no nos dicen nada sobre a qué están vinculados. La mejor práctica de un código QR es hacer que las personas sepan lo que obtienen cuando lo escanean.
El código QR ¿es auténtico? Muchas veces los delincuentes cubren el código original con algún tipo de pegatina que incluye un QR fraudulento. Es esencial que nos fijemos en cualquier detalle de los distintos códigos a escanear. En caso de desconfiar podemos solicitar información a los empleados del establecimiento o incluso consultarla en la web oficial.
Debemos educar a quienes toman prestado nuestro dispositivo móvil. Si tenemos pequeños que utilizan nuestro smartphone todo el tiempo, debemos educarlos sobre los peligros potenciales de los códigos QR.
Si os ha gustado este artículo en el que analizo los riesgos que acompañan a los códigos QR os puede interesar este otro análisis que realicé de seguridad en la nube.