Los restaurantes los tienen en las mesas, los hoteles los ofrecen para mostrar sus servicios y los museos los usan para dar instrucciones en las salas o desvelar los secretos de sus obras. Los códigos QR están de moda, más después de la pandemia, pero ¿son seguros? ¿Qué pueden hacer los usuarios para evitar las estafas? Un código QR es un tipo de código de barras escaneable que está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Existe desde 1994 y puede almacenar hasta 4.296 caracteres alfanuméricos. Los que se utilizan habitualmente suelen contener menos caracteres, lo que permite una fácil decodificación con la cámara de un móvil inteligente.
La versatilidad, un arma de doble filo
Las cadenas de texto que se codifican en un QR pueden contener varios datos y los códigos se pueden utilizar para abrir webs, descargar un archivo, añadir un contacto, conectarse a una Wi-Fi e incluso hacer pagos. Su versatilidad puede ser un arma de doble filo. Su uso generalizado ha llamado la atención de los estafadores, que los pueden utilizar con fines malintencionados.
Igual que los atacantes pueden utilizar anuncios maliciosos y otras técnicas para dirigir a las víctimas a sitios fraudulentos, pueden hacer lo mismo con los QR. Por ejemplo, podrían manipular fácilmente el QR para engañar al usuario y hacer que descargue un archivo PDF malicioso o una aplicación móvil fraudulenta, según ESET. Asimismo, los delincuentes podrían modificar un QR de una transacción financiera con sus propios datos y recibir pagos en su cuenta, y podrían pegar un código, generado para dirigir hacia una URL maliciosa, sobre un QR bueno que esté en un cartel de conciertos.
La clave, el sentido común
Por eso, coinciden los expertos consultados por Efe, hay que tener sobre todo sentido común y desconfiar de lo que no vemos claro. Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación en la UOC, recomienda configurar los dispositivos para que no abran directamente los enlaces -los últimos sistemas operativos ya lo hacen-, para poder ver antes qué URL vas a pinchar. Hay que asegurarse de no introducir datos personales o de que no nos estemos bajando un archivo, por ejemplo.
"A simple vista es muy difícil saber si un QR es malicioso o no. Quizás la primera recomendación es saber dónde está", resume Fabián Torres, de Sicpa: "si está en el interior de un edificio oficial o en un restaurante podemos presuponer que es probable que no sea malicioso". Por el contrario, "si está en la calle en un lugar donde cualquiera puede colocarlo (farol, fachada, poste) ya debemos empezar a tomar precauciones, especialmente si viene acompañado de una propaganda tremendamente atractiva e inusual como incitándonos a capturarlo". Además del lugar, hay que tomar todas las precauciones habituales de protección de dispositivos: contraseñas, últimas versiones del sistema operativo y de las aplicaciones, antimalware, antivirus, etc.
No obstante, existen QR "imposibles de manipular o falsificar" que combinan tecnología innovadora -por ejemplo, algoritmos criptográficos matemáticos y blockchain-. "Nuestra solución Certus se emplea con éxito en todo el mundo para certificados covid, títulos universitarios o certificación de documentos públicos y oficiales", dice el experto de Sicpa.
