Un código QR es un tipo de código de barras escaneable que está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Existen desde 1994.
Uno de ellos puede almacenar hasta 4.296 caracteres alfanuméricos. Los que se utilizan habitualmente suelen contener menos, lo que permite una fácil descodificación con la cámara de un móvil.
Como relatan desde la Universitat Oberta de Catalunya (UOC), su origen está en la iniciativa de un ingeniero de la empresa Denso Wave, suministradora de componentes para Toyota, que quiso mejorar el sistema de etiquetado de las cajas de materiales que se distribuían por la fábrica.
Masahiro Hara creó un nuevo sistema que superaba a los códigos de barra que llamó «quick response» (de respuesta rápida, en inglés). Un día, jugando al típico juego japonés del Go, se le ocurrió cómo utilizar esos puntos blancos y negros para codificar la información en dos dimensiones en lugar de una, como se hacía con los códigos de barra.
Aunque estos cuadrados tan especiales existen desde 1994, no se convirtieron en un «nombre verdaderamente familiar» hasta la era covid.
Actualmente, se pueden ver por todas partes y se utilizan para todo, desde mostrar menús de los restaurantes hasta facilitar las transacciones sin contacto.
La versatilidad, un arma de doble filo
Las cadenas de texto que se codifican en un QR pueden contener diversos datos y los códigos pueden usarse para abrir webs, descargar un archivo, añadir un contacto, conectarse a una Wi-Fi e incluso realizar pagos.
Pero su versatilidad puede ser un arma de doble filo. Su uso generalizado ha llamado la atención de estafadores, que pueden usarlos con fines malintencionados.
Al igual que los atracadores pueden utilizar anuncios maliciosos y otras técnicas para dirigir a las víctimas a sitios fraudulentos, también pueden hacerlo con los QR.
Por ejemplo, podrían manipular fácilmente el QR para engañar al usuario y hacer que descargue un archivo PDF malicioso o una aplicación móvil fraudulenta, según advierten desde la compañía de ciberseguridad ESET.
Asimismo, los delincuentes podrían modificar un QR de una transacción financiera con sus propios datos y recibir pagos en su cuenta, o podrían pegar un código, generado para dirigir hacia una URL maliciosa, encima de un QR bueno que esté en un cartel de conciertos.
La clave, el sentido común
Los expertos consultados por Efe coinciden en que, sobre todo, hay que tener sentido común y desconfiar de aquello que no veamos claro.
Jordi Serra, profesor de Estudios de Informática, Multimedia y Telecomunicación en la UOC, recomienda configurar los dispositivos para que no abran directamente los enlaces –los últimos sistemas operativos ya lo hacen–, para poder ver antes qué URL vas a pinchar.
Hay que asegurarse de no introducir datos personales o de que no nos estemos bajando un fichero, por ejemplo.
«A simple vista es muy difícil saber si un QR es malicioso o no. Quizá la primera recomendación sea saber dónde está», resume Fabián Torres, de Sicpa: «Si es en el interior de un edificio oficial o en un restaurante, podemos presuponer que es probable que no sea malicioso».
Por el contrario, «si está en la calle en un sitio donde cualquiera puede colocarlo (por ejemplo, en una farola) ya debemos empezar a tomar precauciones, especialmente si viene acompañado de una propaganda tremendamente atractiva e inusual como incitándonos a capturarlo».
Además del lugar, hay que tomar todas las precauciones habituales de protección de dispositivos: contraseñas, últimas versiones del sistema operativo y de las aplicaciones, antimalware, antivirus, etc.
«Cada día vemos códigos QR manipulados». Un ejemplo es el caso de las pruebas PCR. »Y la verdad no hay que hacer una ingeniería ni ir a la Internet profunda para manipular o alterar estos códigos; en Internet se puede encontrar cómo cambiarlos», explica Torres.
No obstante, existen QR «imposibles de manipular o falsificar» que combinan tecnología innovadora –por ejemplo, algoritmos criptográficos matemáticos y blockchain–. «Nuestra solución Certus se emplea con éxito en todo el mundo para certificados covid, títulos universitarios o certificación de documentos públicos y oficiales», comenta el experto de Sicpa.