Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Escanea códigos QR de manera fiable y segura

Fecha de publicación 30/06/2022

En la actualidad el uso de los códigos QR se ha extendido masivamente, como pone de manifiesto la encuesta realizada por Bluebite. Esta recoge que se ha producido un aumento del 96% del alcance de los códigos QR y un 94% del número de interacciones que se realizan sobre ellos como es escanearlo. Además, una encuesta  realizada por la empresa Mobileiron en Europa y el Reino Unido afirma que el 86,66% de personas que utilizan móviles inteligentes han escaneado algún código QR por lo menos una vez en su vida. Un 36,40% escanea uno o más códigos a la semana.

Más allá de las encuestas, está claro que nos hemos acostumbrado a ver códigos QR en muchos sitios: carteles informativos, billetes de avión, entradas para un evento, revistas, cartas de restaurantes, etc. Además, estos los podemos encontrar proyectados en edificios, en el cielo por drones como entrada a la realidad aumentada, como método de pago o incluso en senderos del monte para consultar rutas de trekking

¿Pero sabemos qué es un código QR? Las iniciales de QR se traducen del inglés Quick Response literalmente como ‘respuesta rápida’. Estos recuadros con manchas negras o técnicamente conocidos como códigos de barra bidimensionales, formados por una matriz de puntos blancos y negros, sirven para almacenar información y hacerla más accesible a los usuarios. Es importante destacar que existen dos tipos de códigos QR: los estáticos y los dinámicos. Los estáticos son llamados códigos de respuesta rápida y no permiten ser editados, es decir, no se puede cambiar su información una vez han sido generados. Los dinámicos son llamados códigos de respuesta inmediata y permiten ser editados, es decir, permiten modificar y cambiar la información a la que redirigen sin necesidad de volver a imprimir o crear el código QR. 

Hoy en día, a través de cualquier cámara de un smartphone o tablet  se pueden escanear estos códigos para acceder directamente, por ejemplo, a una página web o descargar una aplicación. Esto ha permitido que todo sea mucho más fácil, es decir, ¡ya no es necesario teclear una URL en el navegador del teléfono para acceder a ella! 

Los códigos QR se utilizan con muchos fines, algunos ya los hemos mencionado anteriormente, pero vamos a detallar alguno más a continuación:

  • Como método de acceso a una página web, descarga de aplicaciones o acceso a distinta tipología de recursos, como, por ejemplo, cartas de restaurantes, información turística, tienda de videojuegos, etc.
  • Para conocer la información minuto a minuto de las compras realizadas por Internet. 
  • Como forma de conectarse a una red wifi o para conocer la información de esta, como su nombre SSID, contraseña de acceso y el tipo de cifrado que usa la red. 
  • Para utilizar servicios como WhatsApp Web, gracias al código QR proporcionado. Solamente con escanear el código podemos acceder a través del ordenador  a nuestras conversaciones y utilizarlo como si estuviéramos utilizando la aplicación desde el móvil.
  • Para obtener la información de los productos alimenticios que consumimos en los supermercados.
  • Para configurar métodos de protección adicionales en nuestras cuentas. Por ejemplo, para configurar aplicaciones móviles de doble autenticación, como son Google Authenticator o Microsoft Authenticator.
  • Como forma de pago a través del móvil.
  • Para generar tarjetas de fidelización de supermercados y tiendas. En lugar de llevar todas las tarjetas en el billetero, es posible mostrar desde las aplicaciones de dichos servicios un código QR que esconde información de los datos de cliente.
  • Para el acceso a zonas de ocio, como conciertos, museos, películas.
  • También para acceder a sistemas de transporte como aviones, metros o trenes.

 

Ahora bien, no todo es de color de rosa cuando hablamos de códigos QR, y nos preguntaremos, ¿por qué? ¿Qué riesgos puede suponer escanear un simple código con la cámara del móvil? Algunas de las preguntas que planteamos a continuación, os pueden abrir los ojos:

  • ¿Sabemos de antemano a qué página web nos redirige un código QR?
  • Si la respuesta anterior es no, ¿nos hemos planteado si existe alguna posibilidad de que esa web no sea lo que esperamos encontrar? (Contenido violento, pedófilo, drogas, armas, etc.).
  • ¿Qué pasa si el código QR nos lleva a la descarga de una app que promete tener una funcionalidad, pero que en realidad nos suscribe a servicios SMS premium?
  • ¿Y si dicha app es capaz de explotar fallos de seguridad del sistema operativo para robarnos información privada?
  • ¿Y si infecta nuestro dispositivo y nos hace perder toda la información que guardamos en él? Contraseñas, fotos, vídeos, documentos, etc.

 

 

Como vemos, el problema no está en el hecho de escanear el código QR, sino en lo que se esconde detrás de él. Estas cuestiones no deben impedir que hagamos uso de los mismos, pero sí que extrememos las precauciones para evitar problemas. Ahora bien, si nos topamos con un cartel, panfleto o cualquier otro material que, bajo algún reclamo nos invite a escanear un código QR, precaución. En este caso, desconocemos quiénes son las personas o entidades que lo han generado; si son quienes realmente dicen ser; si están suplantando alguna persona, entidad o servicio; si la web de destino a la que el QR redirige es inofensiva o, por el contrario, pretende engañarnos para infectar nuestros dispositivos o que facilitemos algún tipo de dato personal o bancario bajo cualquier excusa.

Con un ejemplo visual lo entenderás mejor. Imagínate  que estás paseando y te dan el siguiente ticket:

A simple vista, resulta muy atractivo, ¿no? Solo por escanear el código podemos conseguir una hamburguesa gratis e incluso algún premio o descuento. ¡Qué fácil parece! Tras escanear el código, nos aparece un mensaje en la pantalla para solicitar confirmación sobre si realmente queremos acceder la URL que esconde el código QR. Es en este momento cuando seriamente debemos plantearnos si realmente queremos instalar una app o visitar una determinada página.

¿Cómo acceder a un código QR?

Acceder a la información que contiene un código QR es una tarea muy sencilla, solamente debemos hacer uso de nuestra cámara de teléfono y enfocar al código. Casi todos los móviles actuales del mercado, tanto de Android como iOS, tienen instalada de forma automática en la cámara una herramienta que permite escanear los códigos. No obstante, hay aplicaciones que comentaremos más adelante que nos permiten mejorar la seguridad cuando queremos acceder o descargar la información de un código QR.

URL maliciosa

Como podemos observar en la imagen, mediante una aplicación específica, tras escanear el QR nos abre una pestaña donde, antes de entrar en el URL, se nos permite observar el link completo. Gracias a esto podemos evitar los problemas de los links acortados, que también hemos explicado en otro artículo de la OSI. 

Obviamente, si alguien pretende que instales una app maliciosa, no le va a poner el nombre de "APKMaliciosa.apk" o "EstoEsUnaAplicacionFraudulenta"; al contrario, intentará por todos los medios poner un nombre al enlace o ruta que pase desapercibido y no te haga sospechar, por ejemplo, "AppHamburguesaGratis.apk".

Entonces, ¿cómo puedes saber si lo que vas a visitar o instalar no te expone a ningún riesgo? A continuación, te proporcionamos algunas recomendaciones  que puedes aplicar:

  • Si a primera vista, la URL nos parece sospechosa, directamente no debemos acceder a ella.
  • Asegurarnos de que la web a la que vamos a acceder siempre cumple con estándares de protección y navegación segura, como, por ejemplo, que tenga HTTPS
  • Hacer uso de analizadores de enlaces, como VirusTotal y URLVoid. De esta manera, antes de abrir la web podremos comprobar que no se trata de ningún ataque de ingeniería social como Qrishing, conocido como el phishing o smishing de los códigos QR. 
  • También podemos recurrir a aplicaciones, como Kaspersky QR Scanner, disponible en Android e iOS, que realizan una serie de chequeos de seguridad antes de activar el código QR en el smartphone.
  • No proporcionar ningún dato privado ni ninguna contraseña a páginas web que hayamos accedido a través de un código QR. Es conveniente que si accedemos a páginas de bancos o tiendas online donde introducimos datos de nuestra tarjeta bancaria, lo hagamos desde la URL completa o a través de su aplicación propia. 

 

Como siempre decimos, las nuevas tecnologías ofrecen muchas posibilidades, y estando informados podemos hacer un uso seguro de ellas. ¡Escanea códigos QR! Eso sí, aplicando el sentido común.

Etiquetas