Hoy en día se habla mucho de los códigos QR, pequeños recuadros rellenos de puntos. Si los escaneas con tu móvil, pueden mostrarte mensajes, llevarte a páginas web o indicarte direcciones en tu aplicación de mapas.
Mientras un código de barras almacena como mucho diez dígitos, un código QR puede contener más de 7.000. Hay ya quien los pone en el currículum, en la tarjeta de visita o incluso en el coche.
Pero un código QR también puede ser la puerta a contenido desagradable, como virus para móviles, páginas de phishing y bromas de mal gusto. Para evitar estas sorpresas, sigue nuestros consejos.
Ofuscación de enlaces, un problema inevitable
Los códigos QR se crearon para almacenar una gran cantidad de información en un espacio reducido. Para una máquina son muchísimo más rápidos de leer que un texto normal. Para un ser humano, en cambio, esa matrices de puntos son tan incomprensibles como la nieve que se ve al sintonizar un televisor viejo.
El misterio que rodea todo código QR puede ser aprovechado por cualquiera que pretenda ofuscar una dirección web. Así, lejos de servir su propósito original, el estándar QR se convierte en la puerta de entrada a lugares peligrosos. Ya han aparecido mensajes de spam que aprovechan la curiosidad que generan los códigos QR para captar usuarios incautos.
Una página con un código QR que lleva a una farmacia en línea. Spam para usuarios móviles.
Como en el caso de los enlaces web peligrosos, los límites los pone únicamente la imaginación. En el blog oficial de McAffee, el experto Jimmy Sha usa una imagen impactante, la de una ruleta rusa QR, para describir el riesgo asociado a escanear y ejecutar códigos al azar. Un código QR malicioso puede conducir, por ejemplo, a lo siguiente:
- Sitios chocantes (contenido pornográfico, escatológico, macabro, etcétera)
- Robo de datos (páginas de phishing: falsos formularios bancarios, redes sociales)
- Código malicioso (virus en páginas web, scripts)
Es cada vez más habitual ver ejemplos de vandalismo con códigos QR, en el que carteles, señales o cualquier otro objeto se ve etiquetado con códigos que contienen direcciones web o mensajes ofensivos o en todo caso no-relacionados con la situación. Hay incluso quien usa algo de Tippex y un rotulador negro.
Desconfía de los códigos QR que carecen de contexto (imagen sacada de Security Management)
Consejos para lidiar con códigos QR desconocidos
La automatización es el principal enemigo de la seguridad. Un estudio de AppSec Labs pone en evidencia que la mayoría de escáneres de códigos QR están pobremente preparados para hacer frentes a ciertos tipos de ataques. Para evitar que un evilQR (código QR malicioso) te cause problemas, sigue estas recomendaciones:
- Configura tu escáner de códigos QR para que no abra automáticamente los enlaces
- Analiza siempre la dirección web del código QR antes de abrirla en el navegador
- Fíjate en el contexto y no escanees códigos si no sabes a qué hacen referencia
- Desconfía de códigos QR de gran tamaño que tienen pinta de haber sido alterados
Barcode Scanner (Android), tiene una opción para buscar más información sobre los códigos escaneados.
¿Has tenido alguna vez accidentes relacionados con códigos QR?
