Si algo hizo la extensa pandemia de coronavirus fue familiarizarnos no solo con el uso del barbijo y alcohol, sino que involuntariamente nos transformó en frecuentes usuarios de códigos QR. Desde visualizar la carta de un bar a realizar un pago, esa herramienta digital está cada vez más presente en nuestra vida diaria.
Podemos considerar a los códigos QR (quick response, respuesta rápida) como la evolución del viejo y conocido código de barras, con la diferencia que éstos permiten almacenar una gran cantidad de datos en una simple imagen. Ya sean unos pocos caracteres -como la URL de una página web- o varios miles, una vez escaneado permite al usuario acceder a la información de manera inmediata, de ahí el nombre.
Actualmente la gran mayoría de los smartphones pueden escanear códigos QR directamente desde la cámara del dispositivo (Android 9 e iOS 11 en adelante), por lo que se suelen utilizar extensamente en campañas de marketing y publicidad.
También jugaron un papel importante no solo en el rastreo de contactos de casos de covid, sino además minimizando la interacción con superficies presuntamente contaminadas y con ello el riesgo de contagio. Su uso ha crecido tanto que en el último año un 86% de los usuarios de celulares escanearon un código QR al menos una vez.
Códigos QR y ciberataques
Tan sencillo es su uso y tan satisfactoria su respuesta inmediata, que es fácil dejarse envolver por una falsa sensación de seguridad que nos puede jugar en contra. En líneas generales, cada vez que escaneamos un código QR estamos clickeando en un link hacia lo desconocido, y debemos considerar que allí donde hay internet puede haber un malintencionado conectado, esperando pacientemente para aprovecharse de los incautos.
Gran parte de los usuarios sabe que los códigos QR pueden abrir un sitio web, pero pocos tienen presente que estos mismos códigos pueden agregar un contacto desconocido a la agenda, suscribirnos a un servicio de SMS pago o redactar y enviar correos electrónicos, todo esto en segundo plano, es decir, sin que nos enteremos. Es aquí donde los códigos QR se pueden transformar en un problema de seguridad.
Imaginemos que estamos en un cajero automático y a nuestro lado se encuentra un sticker que nos invita a obtener un beneficio bancario simplemente escaneando un QR. Confiados, lo apuntamos con la cámara del teléfono para que nos lleve a la propuesta; sin embargo, este código fue puesto ahí por un actor malintencionado y tras dirigirnos a una página que creemos que es la de nuestro banco, nos pide que ingresemos con nuestro usuario y contraseña para obtener dicha bonificación.
En cuestión de segundos entregamos nuestras preciadas credenciales bancarias, convirtiéndonos en nuevas víctimas de phishing sin notarlo. Lo mismo puede suceder con códigos que llevan a falsas redes sociales o a versiones apócrifas de Google Play para que descarguemos una app fake repleta de malware. En algunos casos es suficiente con visitar una URL para iniciar -inadvertidamente- la descarga e instalación de software malicioso, en lo que se conoce como un ataque drive-by download.
Cómo protegernos
La gran ventaja con la que cuentan los atacantes es que a simple vista no podemos distinguir las intenciones de un código QR, por lo que un primer paso para prevenir este tipo de ataques sería poder saber dónde nos dirige antes de abrir el link en el navegador.
El segundo paso sería distinguir si dicha URL es legítima, aunque esto muchas veces no es fácil incluso para los usuarios más experimentados, ya que los hackers apelan a variedad de técnicas para ocultar la verdadera URL, imitando dominios legítimos o aprovechándose del espacio limitado en las barras de direcciones de los navegadores web móviles.
Para protegernos de este tipo de ataques tenemos que apelar al sentido común, escaneando solo códigos de fuentes confiables, verificando que no hayan sido adulterados (código pegado sobre otro código) y dentro de lo posible, chequeando y volviendo a chequear la URL a la que nos dirige.
Nunca está de más ser prudentes al momento de brindar información personal o financiera, y siempre debemos tener actualizados el sistema operativo y el navegador a la última versión. Utilizar software de seguridad específico para escanear códigos QR (como este o este para Android, este y este para iOS) brinda una capa de protección extra que nos puede dar un poco más de tranquilidad.
Es común que los celulares y tablets -comparados con las computadoras- tengan medidas de seguridad más débiles, y al ser usados sobre la marcha se suele prestar menos atención y ser más incautos respecto a posibles señales de alerta. Incluso conociendo los riesgos asociados al uso de los códigos QR seguramente los ignoremos, ya que no estamos acostumbrados a proteger nuestro dispositivo móvil de ciberataques. El objetivo de estas líneas no es sembrar el terror con algo tan práctico y cómodo como los códigos QR, sino recordar que -lamentablemente- en la vida online no podemos descuidarnos ni un minuto, ya que los cibercriminales no descansan pensando en cómo pueden aprovecharse de nosotros.
