Peligro QR: los recaudos que hay que tener al escanear
La pandemia multiplicó la visibilidad del código, que en muchas ocasiones se emplea para pagos “sin contacto”. ¿Cuáles son los riesgos que supone el uso de esa tecnología?
Los códigos QR nacieron en 1994 y mantienen plena vigencia .
En un mundo que procura mantener el distanciamiento social y evitar el contacto físico, el código QR ha incrementado exponencialmente su protagonismo. Esa tecnología surgida hace más de 25 años ahora es omnipresente, ya que permite realizar pagos sin manipular dinero ni tarjetas o acceder al menú de un restaurante eludiendo la necesidad de tomar un libro que ha pasado por muchas manos, por mencionar solamente algunos ejemplos.
Para desprevenidos, el QR es un puente entre el mundo offline y el online. Pariente cercano del código de barras, el bloque bidimensional aparece en productos del supermercado, en paradas de colectivo, carteles publicitarios, en las facturas de los monotributistas, junto a obras de arte en museos y en documentos de diversa especie.
Se usan para almacenar información y dirigir a ella, y usualmente incluyen un enlace a un sitio web al que somos dirigidos una vez que lo apuntamos con la cámara de un celular o tablet. Entre otros usos, también se puede emplear para compartir el perfil en una red social o para utilizar una red Wi-Fi. Nota al margen, antes había que descargar apps especiales para esa lectura, aunque ahora se integra en los sistemas operativos.
Beneficios y también peligros
Hace algunos días encontré en un poste un uso original y curioso para el QR. Se trataba de un folleto de papel pegado en un poste de la calle que promocionaba las actividades de una academia de psicología. Pero a diferencia de otros de su especie, incluía estos códigos escaneables no para dirigir simplemente a una página web sino para responder a preguntas vinculadas a ese ámbito. A fin de cuentas, conducía a un sitio en Internet pero de un modo más elaborado.
Sin acusar (ni mucho menos) a esa academia, la presencia de esos QR en las calles despertó en mí algunas dudas: ¿no es peligroso “meter” en nuestro teléfono un enlace que no conocemos? ¿Acaso los expertos en seguridad informática no recomiendan evitar links de fuentes desconocidas? En ese sentido, ¿por qué eludimos los enlaces que aparecen en un email cuyo remitente no es de confianza, y sí escaneamos códigos que, en muchos casos, provienen de fuentes ignoradas?
Lo cierto es que el uso de los códigos QR supone algunos peligros. No sólo llevan a sitios web sino que en ocasiones incluyen descargas, y eso puede ser lisa y llanamente abrir la puerta de nuestros dispositivos para el ingreso de programas maliciosos.
3 riesgos de seguridad relacionados al uso del QR
– Distribución de malware: Al escanear un código QR que lleve a un sitio web malicioso, es posible que se inicie la descarga de programas malicioso. Ese proceso es forzoso, sin que el usuario pueda decidir si el software dañino se instalará en el equipo. Esas trampas están diseñadas para explotar vulnerabilidades de los dispositivos y pueden derivar en diversas acciones como el robo de información, suscripciones involuntarias, visualización de anuncios no deseados, y ataques de otra especie incluyendo el acceso al micrófono y/o cámara del teléfono.
– Secuestro de sesiones: Con el escaneo de un código QR que parece legítimo, atacantes pueden apoderarse de cuentas de diversos servicios. En estos casos, los ciberdelincuentes utilizan un bloque modificado para suplantar al original que, cuando es escaneado, roba los datos de acceso.
– Phishing: Esta técnica frecuente entre los piratas informáticos, supone el uso de una comunicación que imita a una fuente de confianza. Habitualmente se dispersan vía correo electrónico: un ejemplo clásico es un correo electrónico que miente al decir que proviene de un banco, pide información y así roba los datos. El código QR es otra de las vías mediante la que esta técnica maliciosa puede actuar, redirigiendo a una página web engañosa.
Tips para eludir los peligros relacionados al QR
– Chequear que el enlace sea el indicado: Cuando apuntás con tu cámara a un QR, al pie verás la URL a la que dirige. Si esa dirección genera dudas, siempre será mejor eludir la apertura de ese sitio. Por ejemplo, en un restaurante (para leer el menú) debe coincidir con el nombre del comercio.
– Deshabilitar la apertura automática de enlaces: En los diversos sistemas operativos móviles es posible pedir que al escanear un código QR el enlace incluido en ese bloque no se abra en forma automática. Eso evitará muchos problemas y permitirá comprobar la información con anticipación.
La pandemia de coronavirus multiplicó el alcance de los códigos QR.
– Aplicar una actitud crítica: Esta es una regla fundamental en el ámbito de la seguridad informática: es siempre bueno aplicar una mirada atenta, en este caso cuando se pide el escaneo de un QR. Especialmente si ofrecen beneficios demasiado tentadores, por ejemplo un descuento en un producto o servicio. En muchas ocasiones suelen ser anzuelos para atrapar víctimas.
– Las recomendaciones clásicas también son válidas: En línea con el ítem anterior, para estar a salvo de los riesgos que supone el escaneo de un código cuya ruta no conocemos es conveniente tener actualizado el sistema operativo móvil y contar con un eficiente programa antivirus.