En esta sociedad actual sin contacto que hemos construido como consecuencia de la pandemia por coronavirus, los códigos QR se han transformado en parte de nuestra habitualidad. Hemos tenido que aprender a escanear los códigos QR en Android y iOS para poder realizar pagos, buscar información, etc. Y, generalmente, lo hacemos tranquilos porque lo consideramos un mecanismo seguro. Al menos, más seguro que otros. Pero, aunque esto sea cierto, no podemos perder de vista que existen ciertos riesgos de seguridad ocultos de los códigos QR.
Como decíamos antes, un buen porcentaje de los restaurantes a los que acudimos hoy en día nos permiten pagar a través de esta clase de códigos o, directamente, ver el menú de este modo. Algunos de sus propietarios incluso sostienen que seguirán brindando este sistema incluso cuando la pandemia haya desaparecido. Pero esta adopción casi definitiva que se adivina para el futuro de los códigos QR, requiere también de usuarios más informados acerca de los riesgos que esto implica. Por eso no queríamos dejar de realizar este repaso.
La historia y el futuro de los códigos QR
En primera instancia, tenemos que saber que los códigos QR existen desde el año 1994. Esa tecnología fue desarrollada por primera vez por una compañía filial de Toyota, con el objetivo de seguir el inventario, al igual que los códigos de barra de tipo 1D. Claro, los QR son algo así como una evolución de éstos, considerando que pueden contener hasta 100 veces más información. Pero, como siempre, a mayor utilidad, también se asumen más riesgos.
En la práctica, nos encontramos con que se pueden incrustar hasta comandos de ejecución de Windows completos en un código QR. Si los usamos desde el smartphone, podremos iniciar llamadas telefónicas, enviar mensajes de texto y hasta activar las acciones de cualquier aplicación. Apple Pay ha confirmado incluso que, pronto, podremos realizar pagos en todo el mundo leyendo los datos de las tiendas desde un código QR.
Pero, ¿qué hay de los riesgos de seguridad ocultos de los códigos QR?
Ya el año pasado, el especialista en hackeos Null Byte publicó un vídeo en el que mostraba algunas de las formas a través de las cuales los piratas informáticos podían incrustar cargas maliciosas dentro de un código QR. Si estás interesado en descubrir algunos de los medios más técnicos que los piratas informáticos pueden usar para explotar los códigos QR, entonces deberías echarle un vistazo a ese vídeo, que te dejamos a continuación:
Una de las primeras conclusiones a las que podemos llegar entonces, es que la naturaleza fluida de los códigos QR hace que sea más fácil pillar desprevenidos a los usuarios, sin que haga falta siquiera recurrir a elementos sofisticados. Para alguien con los conocimientos suficientes, reemplazar el código QR original por uno malicioso en la mesa de un restaurante es un trabajo relativamente simple, que no supone demasiado esfuerzo.
En ese caso, un hacker podría dirigir a los usuarios a un sitio web pidiéndoles que inicien sesión con Facebook o Gmail. No sólo eso, muchas otras estafas de phishing y clickjacking, no necesariamente muy avanzadas desde lo técnico, son posibles si alguien tuviera acceso para cambiar el código QR.
En cualquier caso, la mayoría de los riesgos presentes en los códigos QR resultan de no estar seguro del origen del código QR en sí mismo. No se trata de la inseguridad propia del sistema, sino de lo fácil que es reemplazar información correcta por una falsa. Y de lo difícil que será para el usuario darse cuenta y prevenirlo.
¿Y qué podemos hacer nosotros?
Llegados a este punto, claro, probablemente muchos lectores se preguntarán qué es lo que pueden hacer para no caer en engaños ni trucos. Una de las maneras más eficientes de estar atentos es habilitar la revisión del código QR. Esa configuración en particular nos permite llevar adelante una inspección a fondo del texto decodificado antes de ejecutar cualquier código o abrir aplicaciones específicas. Y eso te evitará más de un dolor de cabeza.
Por otra parte, las empresas que utilizan códigos QR pueden proteger a los clientes mediante el uso de un generador de códigos QR con diseño personalizado. Gracias a este diseño personalizado que establece un vínculo entre la firma y el cliente, tanto empleados como consumidores pasarán de manipulaciones y reemplazos.
De hecho, sobran casos ejemplificadores como el del restaurante Green Truck Cafe, que utiliza un código QR con su logotipo para ayudar a prevenir la manipulación. Gracias a QRCode Monkey, cualquier marca puede crear fácilmente un diseño personalizado. Y aunque eso no nos previene al 100%, es un método para complicarle las cosas a los hackers. Después de todo, de eso se trata, de tener herramientas para descubrir las falsificaciones.