Desde que el mundo entrara en situación de pandemia, la nueva normalidad ha traído algunos cambios en cuestión de digitalización. Uno de ellos es la implementación de códigos QR en la mayoría de las industrias. Muy prácticos son los casos de la hostelería. Gran parte de bares y restaurantes ofrecen sus cartas y menús a través de estos códigos para evitar el contacto con los consumidores.
Estos servicios han acercado los códigos QR a la ciudadanía, pero son muchas otras las actividades que funcionan como esta especie de códigos de barras para enlazar una web a los interesados.
Nos vamos transformando como sociedad y nos vamos acercando cada vez más a las tecnologías digitales. Casi todo funciona a través de la nube porque en ella cabe mucha información, no requiere altos costes y los datos se gestionan de una forma más ágil. Además, con ella se evita el uso de papeles o plásticos, con lo que también se echa una mano a la salud del planeta. Pero ojo, todo esto tiene sus riesgos y al igual que te pueden robar la cartera con dinero y tarjetas de crédito, también se puede sufrir un ataque de phishing a través de la nube y los códigos QR.
Índice de contenidos
¿Qué son los códigos QR?
Antes de pasar a hablar de los hackeos a través de esta tecnología, conviene explicar qué son los códigos QR y cuándo fueron creados. Estos códigos, como se decían, son la evolución natural de los códigos de barras de toda la vida y, por definición, significan Quick Response code, es decir, códigos de respuesta rápida.
Son códigos de barras bidimensionales que se leen en los dispositivos móviles y nos llevan directamente a una aplicación o un página en internet. Fueron creados en 1994 por una filial de Toyota y dado el origen de esta compañía, se hicieron rápidamente populares en Japón.
Actualmente, su uso se está muy extendido por todo el mundo en diversas facetas y sectores de actividad. Podemos encontrarnos con códigos QR en el sector de la salud, en la cultura, para el ecommerce, logística e incluso para usos funerarios. Los mismos códigos QR han sido objetivo de inspiración para obras artísticas.
Asimismo, se pueden distinguir varios tipos de estos códigos: además de la versión clásica, hay códigos micro QR, códigos iQR, SQRC y Frame QR. Todo está registrado por el inventor, Denso Wave.
QRishing, el peligro que no se ve
Una vez definido el concepto y vistos los beneficios que presenta al usuario, toca hablar de los peligros o amenazas en principio invisibles para cualquiera. Hablamos de la actividad de los hackers y los delitos que pueden cometer gracias al phishing y los códigos QR.
La técnica es bien conocida por los ladrones y muchos ya ha la han padecido. Robos de credenciales, contraseñas y de dinero por abrir un documento alojado en un correo electrónico o un enlace que contiene un código QR. Estos hechos que muchos están conociendo por primera vez, llevan muchos años siendo objeto de análisis por los expertos en tecnologías. De hecho, ya antes de la pandemia de la COVID-19, en el año 2012, la Carnegie Mellon University (Pittsburgh, Pensilvania, EEUU) realizó un estudio de lo que ya denominó como QRishing, o la susceptibilidad de los usuarios de teléfonos inteligentes a los ataques de “phishing” vía códigos QR.
Casi todos los que escanean códigos QR, visitan la URL asociada
En el estudio de esta universidad, se observó que el 85% de las personas que escanearon un código QR visitaron posteriormente la URL asociada. Los responsables estimaron que que este porcentaje podría llegar a casi el 100%, ya que la tendencia del usuario cada vez mayor es la de no plantearse que haya algo malicioso detrás de un algoritmo encriptado.
Pero ¿qué pasa cuando se lee un QR? La acción se asemeja a cuando se pincha directamente un link de Internet, se está pinchando en un enlace que ni siquiera se puede ver a simple vista, con lo que la probabilidad de caer en las redes de una web maliciosa aumenta exponencialmente, sobre todo si se compara con el caso de un email, un SMS o un WhatsApp “pirata”, en los que sí se puede identificar más fácilmente a dónde quieren redirigir si se pincha en ellos. Básicamente, la ausencia de información gráfica fomenta que la gente lea QRs.
Y estos QR maliciosos no solo sirven para robar identidades o información sensible, sino también para falsificar o recrear una realidad casi paralela y, prácticamente siempre, ilegal. Recientemente se han visto Data-Matrix (un tipo de código QR) de Pasaportes COVID falsificados con identidades como Adolf Hitler, Mickey Mouse y Bob Esponja que, para más inri, han sido validados y reconocidos por las apps gubernamentales.
SICPA tiene la solución
Para prevenirse de estos males, el primer punto a destacar es una llamada al sentido común de los usuarios. Solo se debe escanear y acceder a la URL de un código QR si procede de una entidad confiable.
En la sombra siguen trabajando compañías expertas como SICPA, un referente en el mundo dedicado a la seguridad de la identidad digital y sistemas antifraude. Socio de gobiernos e instituciones, SICPA ha creado áreas estratégicas de negocio centradas exclusivamente en salvaguardar la integridad digital, con el apoyo de un laboratorio de aplicaciones digitales y la iniciativa de la moneda digital del Banco Central (CDB), que han dado lugar a innovadores productos como la plataforma Certus®, que incluye la certificación de salud y vacunas a través de myHealth Pass, así como otras aplicaciones creadas para hacer frente a nuevos desafíos.
Certus® es una solución digital novedosa que permite a los emisores de documentos de valor, como instituciones educativas, organismos gubernamentales y notarios, asegurar sus certificados con una combinación de sellos digitales con códigos QR a prueba de manipulaciones. El resultado es una marca de código QR que es imposible de manipular o falsificar y asegura tanto los certificados en papel como los digitales, permitiendo una verificación independiente y universal y salvaguardando el valor de los documentos de los titulares y la reputación de las autoridades emisoras.