0
0
Tres amigas fueron a tomar un té. La única forma de saber qué había en el menú era a través de un código QR pegado en la mesa. El mozo ni siquiera se acordaba de lo que venía en la merienda así que la operación debió ejecutarse tal como era solicitada. ¿Vanguardia o molestia? Un poco de las dos cosas: los códigos QR existen desde hace mucho tiempo pero parece que explotaron con la pandemia para reducir la necesidad de contacto con superficies. Estos gráficos de pequeños cuadraditos están hoy por todas partes: para pagar, para solicitar servicios, para tener información, para compartir un contacto y mucho más. Pero como advirtió el experto en seguridad informática Hugo Köncke, “también es posible dirigir al usuario a un sitio fraudulento mediante el cual se busque engañarlo con diversos fines”.
Primero lo primero: ¿qué es un código QR y cómo funciona? Creado originalmente en 1994, el Quick Response o respuesta rápida es una representación gráfica de un texto codificado en forma bidimensional que usa esa matriz de pequeños cuadraditos o módulos. “Con el paso del tiempo ha ido incrementándose la cantidad de caracteres que se pueden llegar a representar en una de esas imágenes. Actualmente las versiones más evolucionadas están permitiendo representar cerca de 4.000 caracteres”, enseñó Köncke.
Un código de barras solo representan dígitos que corresponden a un producto; los QR, en cambio, permiten almacenar también letras y caracteres especiales. Esta nota podría ser leída perfectamente desde un QR si antes lo escaneó un lector apropiado: un programa que mediante una cámara de video puede captar la imagen, analizarla y decodificar el texto representado.
La gracia es la simpleza que relató el ingeniero: “Sencillamente, abriendo el lector de QR en nuestro teléfono y enfocando con la cámara el código en sí, podemos acceder sin más al sitio web cuya dirección está codificada en el QR. Esto ha hecho que su uso se haya visto difundido exponencialmente, en la medida que el usuario no tiene necesidad de escribir nada en su teléfono”.
Advertencias.
¿Cuál es la amenaza? Que el QR esté adulterado para dirigir al usuario a un sitio fraudulento en el que se busque robarle algún tipo de información personal delicada. “Lógicamente esto dependerá siempre del contexto físico en que encontremos el código. Un QR que encontremos expuesto en la vía pública (excepto que sea una cartelería publicitaria fiable, que esté fuera del alcance de cualquiera) no es lo mismo que el QR que podemos encontrar dentro de un comercio con supervisión o en un museo”, apuntó el experto. Y añadió: “Es necesario aclarar que un atacante podría sustituir QRs legítimos en un contexto ‘seguro’ del que el usuario seguramente se esté fiando, simplemente superponiendo un autoadhesivo con una nueva imagen de otro QR en el que esté codificada la URL de cualquier otro sitio de su interés para engañar a los usuarios”.
El experto José Luis López, director ejecutivo de ESET Uruguay, sumó otro ejemplo: “Se ha demostrado que el principal punto de débil para realizar una estafa es la excesiva confianza. Por ejemplo, un comerciante que acepte código QR, puede pedirle al cliente que le muestre su móvil luego del pago donde aparece una pantalla donde se ve algún tipo de mensaje mostrando que la transferencia fue exitosa. Pero el comerciante omite examinar su propia cuenta. Es muy sencillo crear una imagen falsa en el móvil y el comerciante que no examine esto en su sistema simplemente de por buena la transacción. Algo tan tonto sigue dándole resultados a los delincuentes”.
Cuidados.
¿Hay alguna forma de protegernos? “Cada vez es más difícil dar ‘consejos de seguridad’ que resulten útiles en todos los casos”, desalentó Köncke.
Pero una buena idea es instalar un antimalware conocido que analice la reputación de los sitios: esto sirve cuando se escribe la dirección de forma tradicional o por QR o por lo que se conoce como “tiny-URL”, una forma abreviada de escribir direcciones web.“Para complicarla un poco más, un código QR puede estar representando una de estas tiny-URLs de forma tal que lo primero que el usuario vería si controlara la lectura del escáner QR sería una secuencia breve que no podría reconocer como válida ni detectar como maliciosa. Si bien no es algo 100% seguro, el disponer de un filtro de reputación en el navegador del teléfono disminuye en buena forma el riesgo de caer en un engaño mediante códigos QR”, enseñó.
Fuente: Elpaís