Cuidado, que no se te escape la tortuga

Algunas consideraciones sobre los códigos QR

Mateo Brodsky

1. ¿Qué es un código QR? [arriba] 

El término código QR significa quick response code o código de respuesta rápida y no es más que la evolución de los, todavía utilizados, códigos de barra. Se representan en un conjunto de pixeles bidimensionales que, utilizando patrones de puntos negros y espacios en blanco, pueden almacenar datos.

Fueron desarrollados y utilizados por primera vez por la compañía japonesa Denso Wave, en 1994.

La matriz de puntos en donde se guarda la información no es legible para el ojo humano. Se debe ´leer´ con un teléfono móvil o con un dispositivo capaz. Debemos mencionar que, en la actualidad gran mayoría de los smartphones, simplemente abriendo sus cámaras y enfocando la imagen, pueden ingresar a los datos que esta contiene.

La interpretación del código se lleva a cabo en cuestión de segundos. Además, gracias a la corrección de errores, la lectura también funciona si falta alguna pieza en él. Los datos que se pueden incluir son muy variados, pudiendo contener, direcciones de correo electrónico, números de teléfono, sitios webs, imágenes, etc.

2. ¿Cómo y para qué se utiliza actualmente? [arriba] 

Como mencioné más arriba, la utilización de los QR puede ser tan variada como nuestras necesidades e imaginación resulten.

Este sistema constituye una nueva herramienta que favorece a la comodidad para realizar las gestiones cotidianas en esta normalidad 2.0 “donde nada se puede tocar”. Si bien estos ya se utilizaban de forma frecuente en nuestra vida, con la implementación de los nuevos protocolos por el Covid-19, su uso aumentó en forma considerable.

Una de las funciones que mayor uso obtiene el QR es poder realizar un pago con una billetera virtual que maneje tanto el cliente como el vendedor. Su utilización, en principio, parece ser segura y rápida ya que solo requiere que el usuario escanee el código QR, se abra el software e introduzca el monto que desea transferir automáticamente a la cuenta destino.

Las billeteras virtuales sirven, entre otras, para agilizar y facilitar transacciones. Las más conocidas en nuestro país son, Mercado Pago, TodoPago, Rapipago, Ualá, VALEpei, entre otras.

3. ¿Es fácil crear un QR? [arriba] 

Aquí es donde se va a producir un giro desde el punto de vista de la seguridad en el uso de estos códigos, ya que la respuesta es: sí, es muy fácil. En principio esto es algo ampliamente positivo, contribuye en el rápido ajuste que impone la nueva normalidad que nos habita, y de este modo, evita tocar cuánto folleto, menú, o cualquier otro se le presente. Sin embargo, sencillamente puede transformarse en una oportunidad para que, “amigos de lo ajeno”, también tengan su acceso y “beneficios”.

Para demostrar cuán fácil es realizar uno de ellos busqué en DuckDuckgo[1]1¨Crear QR¨, el resultado es una inmensa cantidad de opciones, yo elegí la primera para crear el índice de este paper. El sitio que usé es sencillo, se podía incorporar al QR desde un Pdf hasta redirigirlo a un sitio web. La generación del código es automática y uno puede personalizar los márgenes, el texto que aparece debajo y sus colores. Como ya mencioné, en parte, ofrece enormes beneficios para adquirir diversos datos únicamente usando su smartphone.

4. Cómo podría afectar a la seguridad un código QR [arriba] 

Los códigos, como vimos, son sumamente útiles para los proveedores, como también, para los ciberdelincuentes. Menciono, al menos, dos grandes posibles ataques que se podrían realizar con este modus operandi son:

a) Phishing: En esta ¨técnica¨ el delincuente genera un sitio exactamente igual con una dirección URL de aspecto similar al que nosotros creemos estar accediendo luego de escanear el código. Dentro del sitio falso (créeme que se va a ver idéntico) nosotros completaríamos los puntos que se nos exija como una operación normal, sin embargo, toda esta información le estaría llegando de forma inmediata al delincuente.

Los datos en riesgo pueden ser: nuestro nombre, dirección, o incluso todos los datos necesarios para ingresar a nuestro home banking, también puede ocurrir, que el dinero, supuestamente transferido al proveedor, se le esté enviando al estafador.

b) Malware: Es un término amplio que describe cualquier programa o código malicioso, dañino para los sistemas, comúnmente se conoce como virus. Puede ocurrir que la persona desprevenida utilice un código QR y automáticamente sea redirigido a un sitio infectado. El sólo hecho de ingresar a la página web puede desencadenar una descarga nociva.

Ejemplos típicos de estas actividades malintencionadas son: robo de información (troyanos), daño al sistema informático (Chernobyl), perjuicios económicos, chantajeo al propietario de los datos del sistema informático (Ransomware), permiso para el acceso de usuarios no autorizados o una combinación de varias actividades.

5. Recomendaciones [arriba] 

Si crees que para realizar estas maniobras se requiere conocimientos en informática de alta complejidad lamentablemente, es erróneo. Por esto es pertinente comenzar a tomar mayores recaudos con respecto al uso de los códigos QR.

La primera recomendación está dirigida a los locales comerciales, gastronómicos o de cualquier otra índole. He observado repetidas veces como el personal del lugar entrega el plástico con el QR al cliente y se retira por unos cuantos minutos sin prestar atención sobre qué ocurre con el mismo. Probablemente el cliente solo lo escanee y realice la operación para luego devolver el mismo plástico, sin embargo, puede suceder, tranquilamente, que este lo reemplace por uno diferente en cuanto al contenido, pero con un aspecto físico idéntico. Por ello se debe exigir que el código QR permanezca sobre el mostrador en forma fija, o bien que el mismo nunca deje de estar bajo vigilancia del personal.

En el caso que por dicha inobservancia se produzca un daño, económico o no, se abre el debate sobre la responsabilidad del local por no cumplir con el deber de cuidado sobre el mismo.

La segunda recomendación se refiere al momento en el cual escaneamos los códigos. Prestemos atención cuando el dispositivo lee un QR. En la mayoría de ellos existe un paso intermedio, entre el escaneo y la apertura del navegador. En este se indica el link al cuál se está redireccionando, si el mismo no es del lugar al que queremos acceder, mi consejo es, abortar la acción.

La tercera, en el caso que lamentablemente hayas sido víctima de un delito de este estilo. Se debe denunciar ante la dependencia policial más cercana a su domicilio (comisaría de tu barrio, en cualquier lugar del país) o al fiscal en cibercrimen de la Procuración General de la Nación, Dr. Horacio Azzolin, cibercrimen@mpf.gov.ar, teléfono de contacto, 6089-9000, interno N° 9266.

6. Conclusión [arriba] 

¿Para prevenir los actos delictivos que ya están ocurriendo[2], dejamos de usar los códigos QR y volvemos al papel en su viejo formato? La respuesta es un NO rotundo. Mi intención con este escrito va dirigida a generar un mayor conocimiento y en consecuencia, comenzar a actuar con mayor recaudo, evitando que se nos escape la tortuga.

Notas [arriba] 

[1] Si todavía usas Google como motor de búsqueda predeterminado te invitó a leer “Al ‘Caballo Regalado’ ¿No deberíamos empezar a mirarles sus dientes?”, en mi perfil de LinkedIn y Medium. https://www.linkedin.com/in/ mateobrodsky/ https://medium.com/@mateobrodsky/ al caballo-regalado-no-deber% C3%ADamos-empezar-a-mirarles- sus-dientes-6c0cd07054be
[2] Nueva modalidad de estafa en Neuquén con el código QR de la billetera virtual. https://www.rionegro.com.ar /nueva-modalidad-de-estafa-en-neuquen- con-el-codigo-qr-de-la billetera-virtual-1363360/