Códigos QR: cómo funcionan, potenciales amenazas y precauciones
A pesar de no ser inherentemente peligrosos pueden ser el puente hacia sitios que roban información personal. Qué se debe tener en cuenta antes de escanearlos y recomendaciones de seguridad.
El uso cotidiano de códigos QR se masificó durante la pandemia del coronavirus no solo por sus prestaciones y versatilidad, sino también porque la mayoría de las personas tiene un lector en el bolsillo (celulares). A pesar de no ser inherentemente peligrosos, pueden contener tanto software malicioso como ser la puerta de entrada a sitios que roban información personal.
Los QR generalmente se usan para publicidad, alojan links para sitios web con cupones o información de productos. También se utilizan para tickets, eventos deportivos, conciertos, menús en bares o restaurantes o hasta para pagar artículos.
Para conocer cómo están compuestos los estos códigos, los riesgos asociados y las precauciones a tener en cuenta, Generación EZ dialogó con el consultor y senior Software engineer en SecurityScorecard, Martín Moreira.
QR es la abreviatura de Quick Response (Respuesta Rápida) y su principal diferencia con el código de barras convencional es que, además de guardar información de manera horizontal, también lo hace de forma vertical. Esto le permite a los QR alojar más de cien veces más información.
En números
- 7.089
- caracteres numéricos pueden alojar los códigos QR estándar. Si se trata de datos alfanuméricos la capacidad baja a 4.296.
Conocidos también como códigos de barras bidimensionales, el uso de los QR comenzó a popularizarse desde la década de 2010, aunque acorde a una publicación de Microsoft tuvieron un salto exponencial desde 2020, por la pandemia del coronavirus.
El hecho de que la mayoría de las personas tenga un lector de QR en la mano hace que el acceso sea tan simple como abrir la cámara de celular. Además, existen diversas aplicaciones web que permiten crear códigos de manera gratuita, en simples pasos.
Códigos QR: los principales riesgos
Si bien los QR no pueden leerse sin una herramienta específica, a simple vista son solo formas en blanco y negro, existen varios riesgos y amenazas vinculados a estos códigos. No solo pueden contener malware (software malicioso), campañas de phishing (engaños), sino que se pueden imprimir QR infectados y pegarlos sobre avisos reales.
«No solo se pueden poner en riesgo información personal, sino también de trabajo. Las consecuencias pueden ser importantes», señaló Moreira.
Y explicó que a través de las campañas de phishing los atacantes pueden engañar a los usuarios con promociones falsas a que revelen información confidencial. El simple ingreso a un sitio puede conducir a la descarga automática de un malware.
Algunos de estos software maliciosos pueden explotar vulnerabilidades de aplicaciones y acceder al uso de cámaras, sensores u otros dispositivos vinculados al celular.
Según comentó Moreira, en los casos más extremos de phishing, los ciberdelincuentes crean aplicaciones similares a los sitios originales, con pequeños cambios en la URL, que engañan fácilmente a los usuarios.
Quienes se registren en estos sitios dejan emails y contraseñas y otra información personal como números de teléfono. Por lo general, los usuarios utilizan los mismos datos para la mayoría de las cuentas y servicios, con lo cual, ser víctima de robo de datos personales en estos sitios puede tener consecuencias serias.
Hay que recordar que cualquiera puede crear un código QR, hay páginas gratuitas e incluso algunas no tienen marcas de agua y pasan desapercibidas.
Códigos QR: qué medidas de seguridad se puede aplicar
Como primer punto, se puede afirmar que la medida de seguridad más efectiva es la de no escanear códigos QR si no es estrictamente necesario. Incluso cuando se trata de bares o restaurantes, si el usuario no está seguro de que el código que está pegado en la mesa es el original, lo mejor es esperar la confirmación.
“Si se escanea un QR para ver una carta de un bar y cuando se ingresa no hay una carta, lo mejor es ir para atrás y cancelar a la acción. El usuario siempre tiene esta opción, porque el QR en sí, no es riesgoso, pero sí puede ser el puente hacia eso”, advirtió Moreira.
El QR en sí, no es riesgoso, pero sí puede ser el puente hacia una potencial amenaza».
Martín Moreira.
En los dispositivos que utilizan el sistema operativo de IOs, cuando se escanea un QR con la aplicación de la cámara, se muestra el link al que se va a ingresar, el usuario debe estar atento a eso. Sin embargo, hay casos en que los links están abreviados y no dan certezas a dónde nos llevará.
El varias de las aplicaciones para leer QR y, en algunos dispositivos con sistema Android, ni siquiera se puede ver el link antes de ingresar, con lo cual, en estos casos la mejor medida de seguridad es hacer lo que dice el primer punto.
La mejor manera para que un usuario evite ser víctima de una campaña de phishing con códigos QR es ser estricto en la lectura previa de los afiches, mesas o columnas donde estén pegados. Incluso se debe revisar que no tengan códigos falsos pegados arriba.
También se recomienda evitar prestar los celulares a terceros que puedan no tener los conocimientos del usuario y puedan ser víctimas de ciberdelincuentes.
Códigos QR: breve historia y su estructura
Los códigos QR llegaron al mercado para ampliar la cantidad de información que los códigos de barras convencionales podían alojar. Sin embargo, el principal escollo que encontró esta nueva herramienta fue que los lectores de esa época no podían leerlos.
Fueron desarrollados en 1994 por la empresa Denso Wave, subsidiaria de la firma automotriz de origen japonés, Toyota, con el objetivo de trackear las partes de los vehículos en el proceso de ensamblado.
Ante el problema de lectura, se llegó la solución de incrustar tres cuadrados, con porciones en blanco y negro en cada extremo superior y en el inferior izquierdo. De esta manera, los lectores lo reconocieron instantáneamente.
En otras palabras, los tres extremos del QR contienen el patrón de búsqueda que, cuando son detectados por un escáner óptico, e interpretados por un software, permiten que el dispositivo de escaneo determine la orientación del código.
Este no es el único patrón, también hay cuadrados más pequeños que determinan si el código se distorsionó (patrón de alineamiento). A su vez, las filas y columnas de cuadrados alternados en blanco y negro, que conectan los cuadrados grandes del patrón buscador, sirven como el sistema de coordenadas del QR (patrón de tiempo).
Comentarios