Els restaurants els tenen a les taules, els hotels els ofereixen per mostrar els seus serveis i els museus els usen per donar instruccions a les sales o desvetllar els secrets de les seves obres. Els codis QR estan de moda, més després de la pandèmia, però són segurs? Què poden fer els usuaris per evitar les estafes? Un codi QR és un tipus de codi de barres escanejable que està dissenyat per ser llegit i interpretat instantàniament per un dispositiu digital. Hi ha des de 1994 i un pot emmagatzemar fins a 4.296 caràcters alfanumèrics. Els que s’utilitzen habitualment solen contenir menys caràcters, cosa que permet una fàcil descodificació amb la càmera d’un mòbil intel·ligent.
La verstilitat, una arma de doble tall
Les cadenes de text que es codifiquen en un QR poden contenir diverses dades i els codis es poden utilitzar per obrir webs, descarregar un arxiu, afegir un contacte, connectar-se a una Wi-Fi i fins i tot fer pagaments. La seva versatilitat pot ser una arma de doble tall. El seu ús generalitzat ha cridat l’atenció dels estafadors, que els poden fer servir amb fins malintencionats.
Igual que els atacants poden utilitzar anuncis maliciosos i altres tècniques per dirigir les víctimes a llocs fraudulents, poden fer el mateix amb els QR. Per exemple, podrien manipular fàcilment el QR per enganyar l’usuari i fer que descarregui un fitxer PDF maliciós o una aplicació mòbil fraudulenta, segons ESET. Així mateix, els delinqüents podrien modificar un QR d’una transacció financera amb les seves pròpies dades i rebre pagaments al seu compte, i podrien enganxar un codi, generat per dirigir cap a una URL maliciosa, sobre un QR bo que estigui en un cartell de concerts.
La clau, el sentit comú
Per això, coincideixen els experts consultats per Efe, cal tenir sobretot sentit comú i desconfiar del que no veiem clar. Jordi Serra, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació a la UOC, recomana configurar els dispositius perquè no obrin directament els enllaços -els últims sistemes operatius ja ho fan-, per poder veure abans quin URL punxaràs. Cal assegurar-se de no introduir dades personals o que no ens estiguem baixant un fitxer, per exemple.
“A simple vista és molt difícil saber si un QR és maliciós o no. Potser la primera recomanació és saber on és”, resumeix Fabián Torres, de Sicpa: “si és a l’interior d’un edifici oficial o en un restaurant podem pressuposar que és probable que no sigui maliciós”. Per contra, “si és al carrer en un lloc on qualsevol pot col·locar-lo (fanal, façana, pal) ja hem de començar a prendre precaucions, especialment si ve acompanyat d’una propaganda tremendament atractiva i inusual com incitant-nos a capturar-ho”. A més del lloc, cal prendre totes les precaucions habituals de protecció de dispositius: contrasenyes, últimes versions del sistema operatiu i de les aplicacions, antimalware, antivirus, etc.
No obstant això, hi ha QR “impossibles de manipular o falsificar” que combinen tecnologia innovadora -per exemple, algoritmes criptogràfics matemàtics i blockchain-. “La nostra solució Certus s’empra amb èxit a tot el món per a certificats covid, títols universitaris o certificació de documents públics i oficials”, diu l’expert de Sicpa.
