Códigos QR: sencillos de utilizar pero muy difíciles de verificar

Solo un 7% de las personas con acceso a Internet no han descargado nunca un código QR, según los últimos datos de la encuesta realizada por la AIMC. Su uso se ha incrementado un 24% desde el año 19, previo a la pandemia. Lo han implantado los bares y restaurantes, 7 de cada 10 usuarios se lo descargan para conocer sus cartas, pero también para ampliar información sobre algo e incluso para descargar el WhatsApp en el ordenador. Son muy sencillos de utilizar pero muy difíciles de verificar.

Hace un par de ediciones en el World Mobile Congress, el congreso mundial de móviles que concita en Barcelona anualmente a lo más puntero del sector, un código QR malicioso amargó a muchos asistentes el evento. En uno de los stand había un código que invitaba a los asistentes a conectarse gratis al Wifi. Hasta ahí todo correcto. Alguien lo había sustituido y realmente, el que se lo descargaba daba carta blanca a quien lo sustituyó para acceder a todas sus conversaciones.

En aquel entonces esta herramienta no estaba tan extendida. Eran tiempos pre pandemia. Hoy su uso se ha hecho casi cotidiano para millones de españoles que lo utilizan hasta para verificar sus vacunación contra el coronavirus.

¿Qué es un código QR?

Es como un código de barras, que lo único que da es una secuencia numérica con la identificación de de un producto, por ejemplo el ISBN un libro o de un jersey. La diferencia es que el código QR en vez de codificar la información de forma lineal, es un “cuadradito” en el que se codifican un grupo de caracteres, no demasiados, que pueden ser interpretada con un enlace o en caso, por ejemplo de la vacuna covid, quién la tiene, las fechas….Es una forma más de codificar información, una manera gráfica de representar los bits. Tiene una capacidad limitada y la mayoría de la información no está en el propio QR, lo que suele haber es un enlace a donde reside la información, como si pusiésemos una dirección web en un navegador. En sí es una tecnología sencilla y efectiva tanto para quién la implementa como para quien la utiliza.

Paco, el responsable del restaurante Jimy’s, un establecimiento especializado en comida americana y mexicana que tiene un buen tirón, nos cuenta que fue su “informático el que creó el código. Trajo las pegatinas y las coloqué en la mesa. Cada tres meses viene a revisarlos”.

¿Son seguros los códigos QR?

Preguntamos a Eusebio Nieva, director técnico de Check Point Software para España y Portugal sobre la naturaleza y los peligros que podemos encontrarnos al usar esta herramienta. Y nos confirma que los hay. “Si la persona que los implementa se asegura de que lo que contiene en QR es un enlace a su propia página-explica-no debería haber problema, es decir, la información del código QR por definición no puede ser en sí misma utilizada para atacarnos, porque lo único que te dice es “vete a esta dirección”, nada más. El problema es que hay muchos trucos para sustituirla”.

Explica Nieva que los QR “pueden sustituirse simplemente colocando encima una pegatina con otro maliciosos que contenga un enlace para llevarnos a una página y robarnos información o instalar en nuestro dispositivo un programa que nos lleva a una página preparada o bien para robarnos información o para instalar en nuestro dispositivo un programa malicioso, casi siempre para robarnos información, las claves del móvil, las del banco…”.

Y no es fácil darse cuenta, “'porque esa información codificada, un humano la puede interpretar muy mal, y los sistemas no están preparados para ayudarnos a hacer esto, a ver a dónde nos lleva, a qué enlace el código QR”.

¿Cómo podemos protegernos?

El experto nos recomienda que “pongamos bajo sospecha todos los QR, a no ser que ya los hubiésemos utilizado y nos lleven a la página que pretendemos visitar” (una carta de un restaurante por ejemplo). Si conseguimos ver el enlace al que nos lleva “y no nos parece fiable, no pinchar en ese enlace”. En todo caso debemos desconfiar “si nos piden acreditación, la clave del móvil, datos personales datos bancarios… o si de pronto vemos como se nos descarga una aplicación en el dispositivo, en estos casos hay que dejar inmediatamente de operar con él”. La primera alarma será que el código QR nos lleve a un sitio que no se corresponde.

Indica Nieves que “es muy difícil para una persona reconocer la información que hay en un código QR, porque está construido para ser muy sencillo de utilizar y muy difícil de verificar”.