Atrás Cómo utilizar correctamente los códigos QR

Cómo utilizar correctamente los códigos QR

Artículo de Jordi Serra Ruiz publicado en el blog de la UOC: Artículo original.

24.03.2024

Ya desde mucho antes de la pandemia de la covid, los códigos QR existían y se utilizaban en ocasiones puntuales. Se podían ver en algunos museos o en trípticos, y las personas que querían ampliar información podían escanear estos nuevos códigos para acceder a material con información más concreta.

¿Pero tenemos claro qué es un código QR?

En 1994, un ingeniero de la empresa Denso Wave, que suministra componentes para la marca de coches Toyota ―de hecho, es una filial suya―, quiso mejorar el sistema de etiquetado de las cajas de componentes que debían distribuir por las distintas partes de la fábrica. Hasta entonces, utilizaban el ya conocido código de barras, que permite codificar un número con unas barras verticales de diferente grosor traduciéndolo a un número que, consultando una base de datos, nos permite saber qué producto es o, en ese caso, dónde debía llevarse la caja. Los códigos de barras todavía los utilizamos de forma masiva en todos los productos de los supermercados, donde los lee un lector que consulta qué producto es y lo pone en la lista de la compra.

Esta persona era Masahiro Hara y los llamó quick response (códigos de respuesta rápida), ya que su contenido se obtiene de una forma muy rápida. Estuvo pensando en cómo mejorar estos códigos de barras, que eran limitados y, además, implicaban tener que acceder a una base de datos para saber qué representaban. Un día, jugando al típico juego japonés go —se puede ver la similitud con los códigos QR en la figura 1—, se le ocurrió cómo utilizar estos puntos blancos y negros para codificar la información en dos dimensiones en lugar de una, como se hacía con los códigos de barras.

Figura 1: juego del go japonés (Wikipedia).

Hara diseñó un método para poder codificar cualquier frase en el sistema ASCII y, de ahí, trasladarla al sistema binario, que se representaría con estos puntos de color banco y negro. Básicamente, la codificación de los datos (letras y números) que se desea introducir se va rellenando empezando por la parte baja del QR y terminando por la parte alta.

Por tanto, dentro del QR hay un conjunto de caracteres que un dispositivo es capaz de decodificar a partir de la imagen obtenida. Un ejemplo podría ser una URL de internet. Así, por ejemplo, el QR en el que guardamos la dirección de la universidad puede verse en la figura 2.

Figura 2: https://www.uoc.edu.

Como podemos ver, es muy fácil crear un código QR para «esconder» una URL o un acceso a una descarga de un archivo a través del web

Los problemas de seguridad de los códigos QR

Con la pandemia, estos códigos se han extendido por muchos establecimientos, sobre todo en restaurantes, a fin de que los clientes no tengan que tocar los papeles de las cartas de menús. Muchos restaurantes directamente los han pegado en las mesas. Los museos los utilizan ahora para dar instrucciones de cada sala, de los itinerarios, etc. Incluso se usan para realizar llamadas o para dar la información de conexión de una wifi pública.

¿Pero cuál es el problema con el que podemos encontrarnos? Pues que los códigos QR cambian los caracteres por una imagen que las personas no podemos entender directamente. Necesitamos un dispositivo que convierta la imagen en caracteres, y, si el dispositivo entra directamente en la URL o en la descarga del archivo, podemos tener un problema de seguridad.

Por eso debemos configurar bien los dispositivos para que no abran directamente los enlaces, para poder ver antes qué dirección de internet es la que esconde el código QR o qué información tiene codificada.

Un ciberdelincuente podría pegar un código QR generado para dirigir hacia una URL maliciosa encima de un código bueno que esté en la mesa de la terraza de un restaurante. Las personas que abran el QR pensarán que realmente es el que ha puesto el establecimiento y entrarán sin pensárselo.

Asimismo, podemos encontrar un QR en un cajero automático que simula que es el acceso para poder entrar en la aplicación del banco.

Incluso podemos encontrar códigos QR con una codificación call to y que sirven para llamar directamente a un número de teléfono, de modo que un ciberdelincuente podría crear un QR que llame a un número de alta tarificación.

También podría crearse un web falso de compra de tiques en línea aprovechando un concierto o un acto. Solo habría que crear un código QR que se pegara sobre el cartel oficial del concierto para hacer creer a la gente que es el código oficial y que permite comprar entradas más baratas, pero que hay que hacerlo lo más pronto posible porque la oferta termina rápido. Si hacemos clic y entramos, seguramente se hará una compra de las entradas falsas con la tarjeta de crédito. Por tanto, estaremos dando la tarjeta a los ciberdelincuentes.

Además, podemos tener el problema añadido de que en lugar de la URL se haya utilizado un reductor de direcciones y no se vea la dirección entera, sino una dirección corta que no podemos saber seguro dónde va a parar. Por ejemplo, las URL de Twitter o LinkedIn. En los casos en los que no se puede ver dónde va a parar la URL, lo mejor es desconfiar y verificar que el código QR es legítimo y es el mismo que ha puesto el establecimiento. Hay sitios web que convierten las direcciones cortas de internet en las reales, lo que nos permitirá ver realmente dónde va a parar la URL escondida con un acortador de direcciones dentro del código QR.

Sobre todo, debemos tener sentido común y desconfiar de los códigos QR que no tengamos muy claro que son los reales, es decir, los que un establecimiento ha colocado para que su clientela los utilice.


Este artículo es fruto de la Cátedra Internacional ARTEMISA de CiberseguridadEsta iniciativa se realiza en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia, financiada por la Unión Europea (Next Generation), el proyecto del Gobierno de España que traza la hoja de ruta para la modernización de la economía española, la recuperación del crecimiento económico y la creación de empleo, para la reconstrucción económica sólida, inclusiva y resiliente tras la crisis de la COVID19, y para responder a los retos de la próxima década.