Los peligros de los códigos QR que escaneas con el móvil en bares y restaurantes

Sencillos, directos y sin necesidad de contacto físico. Los códigos QR han estallado durante la pandemia, sobre todo en el mundo de la hostelería. La mayoría de los bares y restaurantes han sustituido las tradicionales cartas en papel por unos códigos impresos en la entrada del local o las mesas. Solo hay que enfocar la cámara del móvil hacia uno de ellos para ejecutar la acción que se indique en el código: desde obtener indicaciones hasta consultar la información de una tarjeta de visita, pasando por conectarse a una red Wi-Fi, añadir un evento al calendario del smartphone o usar WhatsApp en un ordenador.

Las siglas QR responden a la expresión en inglés 'quick response' (respuesta rápida), ya que el lector identifica en un instante la información contenida en el código; hace años se les conocía también como códigos bidi, pero el nombre nunca acabó de cuajar.

Los QR se presentan como un código de barras con forma cuadrada que almacena la información en una matriz de puntos de dos colores contrastados (casi siempre blancos y negros) y que se genera con un programa específico. Tras ese conjunto de líneas y cuadrados aparentemente sin sentido se halla una tecnología compleja pero de uso muy fácil para el usuario.

Los QR surgieron en 1994 en Japón, creados por la empresa Denso-Wave (una subsidiaria de Toyota) como un método fácil para registrar repuestos en la fabricación de vehículos. Después pasaron a emplearse en supermercados, pero con la llegada de los móviles con cámara se extendieron a todo tipo de usos. Los tres cuadrados que hay en otras tantas esquinas permiten al lector, ya sea la pantalla del móvil o un escáner, detectar la posición del código.

La sencillez en el uso es una de las claves del éxito de la difusión de los QR, pero no hay nada perfecto y también tienen alguna vulnerabilidad que los delincuentes pueden aprovechar para robar datos personales o acceder a cuentas bancarias. Sin ir más lejos, recientemente la Comisaría Provincial de Málaga ha detectado casos en los que se utilizan estos códigos con fines delictivos. Un QR no se puede hackear, pero sí se puede crear uno pensado para obtener información de la víctima cuando lo lea con el móvil: «Si el código QR que estamos leyendo es legítimo, no hay ningún tipo de problema asociado. Por el contrario, si nos encontramos ante un código QR ilegítimo o malicioso, este nos puede ocasionar problemas tanto de seguridad como de privacidad», informa Ángela García, técnico de ciberseguridad para ciudadanos del Instituto Nacional de Ciberseguridad (Incibe).

Al leer un código QR malicioso, dice García, «podríamos ejecutar algún tipo de malware directamente en nuestro terminal o ser redirigidos a una web fraudulenta en la que, por ejemplo, nos soliciten datos personales o incluso bancarios bajo algún tipo de engaño». Estamos tan habituados a escanear con soltura un código QR que no caemos en que uno malicioso puede descargar una aplicación que nos robe los datos. Los delincuentes también pueden rastrear nuestra actividad en internet e incluso enviar mensajes o correos electrónicos a nuestro nombre sin que seamos conscientes.

Para evitar este tipo de amenazas el Incibe propone varias medidas:

Siempre que analicemos códigos QR, deberemos hacerlo con una aplicación que nos permita ver el enlace de la página a la que nos va a redireccionar antes de hacerlo. Así podremos comprobar que el dominio al que vamos a acceder realmente es el que debería. En caso de duda, también podemos analizar el enlace con herramientas como 'Virustotal', que nos mostrará si la web contiene algún tipo de malware que pueda infectarnos. Ante la duda, lo más sensato es no entrar en la página ni acceder a la descarga de ningún software sospechoso.

En cuanto al código QR en sí, deberemos fijarnos en que éste no haya sido manipulado o sea una pegatina encima del código real. Igualmente, si nos encontramos en algún sitio un código QR sin ningún tipo de información asociada, deberemos ser precavidos y desconfiar.

Por último, como medida de prevención generalizada, siempre deberemos disponer de herramientas de protección en nuestros dispositivos, mantenerlas activas y actualizadas.

En caso de cualquier duda, el Incibe pone a disposición de los ciudadanos el teléfono gratuito 017.