Seguramente ya has oído hablar de los códigos QR o los has utilizado antes; estas matrices de puntos y cuadros son muy comunes y se usan para distintos fines. En este post vamos a profunfizar en su razón de ser, cómo funciona, los riesgos relacionados a su uso y medidas de seguridad.
(Nota: Sí quieres ir directo al grano técnico, puedes ir más abajo a «¿Qué es un código QR?) ?
Estos códigos aparecieron hace tiempo y los hemos visto en diferentes espacios o lugares, por ejemplo: para iniciar sesión en WhatsApp Web, para obtener información de alguna promoción o página en un centro comercial, en los empaques de productos, y ahora en tiempos de COVID para los menús de restaurantes o para llenar formularios en los aeropuertos antes de abordar.
Recientemente en Ciudad de México se dio a conocer la implementación de un sistema de check-in con QR o mensaje SMS para identificar personas con síntomas de COVID-19 que visiten establecimientos con el fin de notificar a las demás personas y disminuir la cadena de contagio. Consulta aquí el comunicado y las principales preocupaciones en torno a esta medida.
La medida propuesta por el Gobierno de la Ciudad de México consiste en escanear un código QR e iniciar un proceso de registro con tu número celular. Esto se llevará a cabo en los establecimientos cerrados, concurrido y/o donde se pasa un espacio de tiempo prologando, por ejemplo: gimnasios, centros comerciales, restaurantes,
Aquí los anuncios al respecto.
A partir de la próxima semana, en los establecimientos podrás encontrar un código QR, ? el cual deberás escanear a tu entrada. Con esta acción, reforzaremos la estrategia para cortar la cadena de contagios por #COVID19.
Así funcionará: ?
Juntas y #JuntosVamosASalirAdelante ? pic.twitter.com/UCrnaRGnjz
— Gobierno CDMX (@GobCDMX) November 13, 2020
Sobre el funcionamiento del sistema de check-in con QR en establecimientos, Gaceta del 13 de noviembre https://t.co/IWyUlDQ2n9
Sobre el sistema de datos personales para ello, Gaceta del 17 de noviembre https://t.co/Aaj1VxUajQ
(1)
— José Merino (@PPmerino) November 18, 2020
¿Qué es un código QR?
El código QR es una evolución del código de barras tradicional. Tanto el código de barras como el QR se utilizan para almacenar información, esta información se codifica ya sea en las barras o en los puntos del código, y posteriormente cuando queremos decodificar esta información utilizamos un lector.
Este código fue inventado en 1994 por una compañía japonesa llamada Denso Wave, y desde entonces se ha utilizado con diversos objetivos. Al inicio se utilizaba con fines industriales (igual que el código de barras) para etiquetar piezas, componentes o productos. Posteriormente su uso se popularizo y comenzó a utilizarse en otros espacios como servicios de transporte, servicios de alimentos, comercio electrónico o para compartir enlaces de Internet de manera más sencilla.
Al final, tanto el código de barras como el QR son formas simplificadas para almacenar información y compartirla de manera más efectiva, ¿te imaginas tener que transcribir o identificar las piezas de un automóvil una por una y registrarlas en una hoja de calculo o una base de datos a mano? ¿o tener que transcribir las URLs extensas con toda tu información de pago para una transacción en linea? Es posible, pero seria cansado, de aquí la necesidad de automatizar estos procesos.
¿Cuál es la diferencia entre el código de barras y el código QR?
La diferencia es el formato y la cantidad de información que cada uno puede almacenar. Como podemos ver, el código de barras tiene … barras ?, estas barras se leen en orden de aparición y listo, mientras que el código QR es un código bidimensional que se compone de una matriz de puntos, estos tienen una lectura un poco más compleja, pero al ser una matriz y no solo una linea de barras entonces pueden almacenar mas información.
Al final podemos decir que un código QR es una suma de varios códigos de barras, solo para simplificarlo, y que esta suma implica poder manejar mayor información.
¿Qué usos se le pueden dar a los códigos QR?
La respuesta puede variar, ya que al final un código QR es eso, información digitalizada y su uso depende de la información contenida.
Algo que nos puede dar una mejor pauta son sus limites:
- El QR puede almacenar solo cierta cantidad de información, no es ilimitado.
- Se necesita un lector digital
Teniendo en cuenta estas dos limitaciones, significa que podemos compartir una cantidad limitada de información y que necesitamos algo con qué leerla.
En resumen, esto se traduce en compartir pequeñas dosis de información como son códigos alfanuméricos o enlaces a sitios, aplicaciones o servicios, y que podemos leer desde un dispositivo lector, ya sea un dispositivo o software diseñado para esa función, o la cámara de nuestros dispositivos móviles.
Ejemplos de usos de códigos QR:
- Almacenamiento de códigos de productos y servicios
- Piezas de productos
- Componentes de un producto
- Código de servicios
- Cobros en comercios físicos o electrónicos
- Compartir promociones o propagandas
- Compartir accesos rápidos a URLs de sitios de Internet
- Acciones rápidas como activar servicios de checkin
- Compartir mensajes rápidos o pequeños de artistas o manifestantes
- Mostrar el menú de comida en un restaurante en sustituto de un menú fisico
Consideraciones de seguridad digital para códigos QR ?
Bien, como ya comentamos, el código QR nos ayuda a compartir información de manera sencilla, pero, si analizamos los ejemplos anteriores podemos deducir que hay bastante casos en los que las personas usuarias escanean con su propio celular el código QR, y esto, puede ser utilizado con fines maliciosos y tomar la forma de un ataque digital.
¡¿Qué?! ¿Los códigos QR pueden ser utilizados para atacarnos? Sí.
Phishing y códigos QR maliciosos
¿Has escuchado hablar de phishing? ? A grandes rasgos el phishing es una técnica de suplantación de información con la cual intentaran robarnos información o infectar nuestros equipos.
Por ejemplo, imagina que te llega un mensaje de texto SMS a tu celular diciendo que te ganaste la lotería, en el mensaje hay un enlace a un sitio, lo abres, y ves un sitio que te pide que ingreses tus datos bancarios para que te hagan el deposito del premio, feliz de la vida ingresas los datos esperando tu premio, pero resulta que al día siguiente tu cuenta bancaria está vaciá ?. Esto sucedió porque el sitio en el que ingresaste tus datos era falso y utilizo esa información para estafarte, ¿cómo lo hicieron? A través de la técnica de phishing, que era ese mensaje diciendo que ganaste la lotería y contenía un enlace a un sitio malicioso.
Veamos otro ejemplo, te llega un correo electrónico diciendo que tienes una deuda pendiente del banco y este correo tiene un archivo adjunto con una supuesta lista de transacciones que tienes que verificar. La situación te alarma y decides abrir el documento adjunto para corroborar la información, cuando lo abres tu antivirus te indica que se ha detectado una amenaza, o peor, no tienes antivirus y tus archivos comienzan a eliminarse a tal punto que pierdes toda tu información de ese equipo ?. Esto sucedió porque el documento que abriste contenía un malware, el cual infecto tu dispositivo y elimino tu información, ¿cómo lo hicieron? A través de la técnica de phishing, que era el correo diciendo que tenias un saldo pendiente con el banco y que contenia un documento infectado.
Como puedes observar, el phishing es este engaño que te incita a hacer algo: descargar un archivo, abrir un enlace, ingresar tus datos. En el caso del código QR puede suceder lo mismo, tal vez te encuentras un código QR que lo que busca es que abras un sitio malicioso o descargues archivos infectados, por lo que hay que tener cuidado.
Medidas de seguridad
Al escanear códigos QR, toma estas medidas para protegerte de ataques de phishing y códigos QR maliciosos:
- Ojo con los códigos QR que no especifican a qué te vinculan. Lo ideal y una buena práctica es que los código QR indiquen a dónde te van a dirigir y qué vas obtener al escanearlo.
- Cuando escaneas un código QR con la aplicación de tu cámara generalmente se va a mostrar el mensaje o una URL
- Para abrir la URL, procura copiarla y pegarla en tu navegador para que puedas revisarla
- De la URL obtenida:
- Verifica que el sitio o URL sea conocido para ti
- Si no es conocido, verifica en el local o lugar donde realizaste el escaneo
- Si no hay a quien preguntar, puedes utilizar Google o Duck Duck Go para buscar información del sitio
- Si la URL comienza una descarga:
- Sí notas que se esta descargando un archivo con alguna extensión extraña o de un sitio extraño, cancela la descarga y elimina lo que se haya descargado
- Antes de abrir el archivo analizalo con un antivirus
- Sí, intenta tener un antivirus en tu celular, puedes buscar el antivirus BitDefender o AVG y utilizar su versión gratuita para móviles
- Si la URL inicia una acción en tu dispositivo como abrir o instalar alguna aplicación
- Verifica que aplicación se está abriendo o instalando
- Verifica que la acción no sea extraña, como cambiar alguna configuración de tu dispositivo o instalar alguna aplicación de un lugar distinto a la tienda de aplicaciones
A parte de los puntos anteriores, recuerda siempre tener:
- Respaldo de tu información reciente
- Un antivirus instalado y actualizado
- Tener tus aplicaciones y sistema actualizado
Todo lo anterior es para prevenir alguna perdida de información o daño.
Recuerda mantener tus recomendaciones de seguridad al día, si quieres conocer más información sobre phishing y otros tipos de ataque te recomiendo leer los siguientes enlaces:
Excelente explicación