¿Son seguros los códigos QR? Consejos y trucos para un marketing móvil más seguro
A medida que el mundo se adentra en agosto de 2021, hemos observado recientemente un hito global bastante importante: 500 días de Covid.
Las cosas ya no son como antes y, aunque los titulares de cada día no nos hacen perder de vista los grandes cambios, ha habido algunos que sorprendentemente han pasado desapercibidos y que podrían plantear graves problemas de seguridad en un mundo cada vez más digitalizado.
Empezaremos este debate con una pregunta engañosamente sencilla:
¿Son seguros los códigos QR?
Digamos que es viernes por la noche: tu pareja y tú estáis agotados tras una larga semana de trabajo y, para romper con la monotonía de la oficina en casa, decidís pasar una noche fuera, volviendo a visitar un antiguo restaurante favorito.
Desde que te sientes, notarás que falta algo en comparación con 2019. no más menús extravagantes. Lo más probable, en cambio, es que haya utilizado su smartphone para hacer un pedido escaneando un Código QR convenientemente colocado en tu mesa – igual que en millones de establecimientos de comida y bebida de todo el mundo.
La mayoría de nosotros no se toma demasiado en serio este sutil cambio: muchos citan los códigos QR como una forma más rápida, cómoda y segura de acceder a la información en diversas situaciones. Incluso se han citado como una forma nueva y revolucionaria de reducir el despilfarro de papel.
¿Cuál es el truco?
Para entenderlo mejor, veamos cómo funciona esta moderna innovación tecnológica.
Cómo se inventaron los códigos QR y cómo funcionan
El humilde código QR es mucho más antiguo de lo que la mayoría de nosotros pensamos: aunque su popularidad se haya generalizado en la última década, en realidad tiene más de 25 años.
En 1994, un ingeniero jefe llamado Masahiro Hara, de la empresa japonesa pionera en tecnología Denso Wave, tuvo una repentina epifanía mientras jugaba una partida de Go durante la pausa para comer.
Al darse cuenta de que los patrones cambiantes en blanco y negro del tablero de juego también podían representar datos, resolvió un problema clave para los clientes de su empresa en la industria del automóvil: la gestión de miles de artículos diferentes dentro de sus inventarios.
En aquella época, los códigos de barras tradicionales eran restrictivos, ya que sólo podían manejar 20 caracteres de información. El nuevo método de Hara -que pronto recibiría el nombre de «respuesta rápida» o código QR- podía contener 200 veces más información y era una solución brillante a los problemas de gestión de inventarios.
La idea era sencilla y funcionaba en tres pasos clave:
Los datos se codificarían y representarían en una cuadrícula de puntos negros sobre fondo blanco.
Los dispositivos de imagen, como escáneres o cámaras, los leen y procesan mediante una técnica llamada corrección de errores Reed-Solomon.
Una vez interpretados correctamente, los datos se extraerían mediante una combinación de patrones horizontales y verticales.
El invento de Hara fue un éxito. No sólo era posible escanear códigos QR en cualquier orientación, sino que además eran fáciles de imprimir, baratos y agilizaban enormemente la gestión de la cadena de suministro una vez llegaban a las fábricas.
Hoy en día, los códigos QR se utilizan para mucho más que la gestión de inventarios. Suelen utilizarse para que cualquiera que tenga un smartphone con cámara pueda acceder sin problemas a contenidos web, aceptar solicitudes de pago, escanear anuncios para obtener cupones e incluso acceder a información personal importante (hablaremos de ello más adelante).
Cómo cosechan nuestros datos los códigos QR
En los últimos 18 meses, los códigos QR se han multiplicado por un factor que el viejo Sr. Hara quizá nunca hubiera esperado. Según Juniper Research, se espera que el número de usuarios de pagos QR en EE.UU. aumente un asombroso 240% en cinco años, con cifras similares en todo el mundo.
Si bien esto significa que millones de personas armadas con teléfonos inteligentes están adoptando la tecnología, el intercambio de datos QR no es una calle de sentido único – los códigos, o más bien las empresas detrás de ellos, están escuchando en silencio.
Como en casi todos los rincones de la Red, los códigos QR ofrecen a las empresas la oportunidad de rastrear, seleccionar y analizar a sus clientes. Cuando escaneas un código QR, también compartes información fundamental sobre ti, como:
Cuándo se realizó la exploración
Frecuencia de lectura del código
Dónde se escaneó el código
Qué acciones realizó después de acceder a los datos del código (dependiendo del contenido al que se le dirija y al que no tenga acceso el generador del código QR).
Cuánto dinero has gastado, si el código está vinculado a un negocio (de nuevo, esta información no está disponible para el generador del código QR).
Como era de esperar, la lista de puntos de datos que se pueden recoger con un solo escaneado es inquietantemente alta, y ha suscitado la preocupación de expertos en seguridad y privacidad de todo el mundo.
En declaraciones al New York Times, Jay Stanley, analista político de la Unión Americana de Libertades Civiles, lo expresa de forma sucinta:
«La gente no entiende que cuando se utiliza un código QR, se interpone todo el aparato de seguimiento online entre usted y su comida. De repente, tu actividad offline de sentarte a comer se ha convertido en parte del imperio de la publicidad online».
¡Caramba!
Si la experiencia no nos falla, no estamos muy lejos de ver anuncios dirigidos mientras disfrutamos de nuestra hamburguesa favorita. A medida que las empresas ven formas claras de utilizar en su beneficio los datos recopilados sobre nuestros hábitos alimentarios y de gasto, también se observa un fuerte aumento de la compatibilidad de los códigos QR con las pasarelas de pago.
Tomemos como ejemplo a Paypal, que ha impulsado la compatibilidad con códigos QR para millones de pequeñas empresas, así como para grandes empresas como Nike y CVS.
Aunque las empresas que crean y gestionan los códigos QR de los restaurantes afirman que no venden información personal -como datos de contacto e historial de compras-, la legislación sobre privacidad tecnológica en todo el mundo se ha quedado muy rezagada con respecto a las propias tecnologías.
Esto significa que, aunque estas empresas no vendan necesariamente nuestra información a terceros, sí que pueden compartirla, por lo que quizá la revolución de los códigos QR no sea tan limpia como algunos sugieren.
Mal uso de los códigos QR: El debate sobre el abono verde europeo
El uso responsable de los códigos QR es un tema que no se ha tratado lo suficiente y que ha suscitado un gran interés recientemente, cuando las tasas de vacunación empezaron a aumentar en toda Europa continental y, en particular, en Italia.
A lo largo de 2020, los medios de comunicación de todo el mundo estuvieron muy pendientes de la península itálica, ya que Italia fue uno de los primeros países en sufrir el azote de la pandemia y sus efectos debilitadores sobre la población y la economía. Cuando el sistema sanitario del país se vino abajo, provocando una enorme mortandad y el duelo de miles de familias, los gobiernos de las naciones europeas se dieron cuenta de que había que tomar medidas drásticas.
Uno de ellos fue el asunto del Pase Verde Covid. ¿Qué es exactamente el Pase Verde de Covid?
Certificado Verde Digital
Según un informe de la Unión Europea, el 17 de marzo de 2021, la Comisión Europea presentó una propuesta de reglamento sobre un «certificado verde digital». Esto era necesario para permitir la circulación segura y libre de los ciudadanos de la UE durante la pandemia y los consiguientes cierres parciales. También iba acompañada de una propuesta que abarcaba a los nacionales de terceros países que se encuentren o residan legalmente en la UE.
El certificado verde digital proporcionaría la prueba de la vacunación, daría los resultados de las pruebas de Covid-19 e información sobre la adquisición de anticuerpos. El certificado pretendía contribuir a restablecer la libre circulación de personas en la UE.
El 25 de marzo de 2021, el Parlamento Europeo decidió acelerar los trabajos sobre la propuesta de la Comisión, que se puso en marcha con éxito en junio de 2021.
Lo bueno, lo malo y lo feo del Green Pass
Junto con el resto de la UE, Italia ha empezado a expedir «Tarjetas Verdes Covid», el certificado digital que confirma el estado de salud de las personas en la UE. En función de distintos criterios, el pase otorga a su titular uno de tres estatus:
Vacunados contra Covid-19
Prueba negativa
Recuperado de Covid-19
A medida que el mundo empieza a despertar lentamente de la catástrofe de 2020, hacer que dicho pase sea obligatorio para entrar en atracciones turísticas, restaurantes, oficinas y otros espacios públicos es sin duda una medida responsable, aunque un pequeño detalle hizo surgir una serie de preocupaciones que nadie vio venir.
Dado que los códigos QR se han utilizado durante toda la pandemia como una forma eficaz de limitar el contacto -se estaban utilizando para todo, desde enlaces a directrices de salud pública hasta pagos médicos-, parecía natural que el Covid Green Pass también llevara un código QR.
¿Cuál es el problema?
El Green Pass también contiene una cantidad significativa de información personal, lo que aumenta la preocupación por la seguridad personal y la privacidad.
Según el Dr. Michael Veale, profesor de Derechos y Normativa Digitales de la Facultad de Derecho de la UCL, los datos de los certificados digitales serán fácilmente falsificables.
A las pocas semanas de ponerse en marcha la medida, los codificadores preocupados de Italia empezaron a cargar herramientas digitales para comprobar sus Covid Green Pass, ayudando a la gente a descubrir qué datos podrían filtrar los códigos.
Por desgracia, la mayoría de la gente no es tan cuidadosa, o simplemente no tiene conocimientos digitales. Si combinamos esto con una pandemia mundial y un sistema de certificación puramente digital, tenemos la receta para el desastre.
Ansiosos por celebrar su estado de vacunación, varios italianos entusiasmados acudieron a las redes sociales y mostraron con orgullo sus pases verdes Covid (y códigos QR) en vídeos y fotos. Según las especificaciones oficiales, los certificados digitales a los que enlazan estos códigos QR contienen gran cantidad de información sensible, como su nombre, fecha de nacimiento, estado de vacunación e incluso el lugar donde decidió vacunarse. En manos de las personas equivocadas, esto podría servir fácilmente como método para acechar y acosar a víctimas inocentes, un problema tan grave que el Ministerio de Sanidad italiano también publicó un comunicado instando a la gente a guardarse los pases y compartir los códigos QR de forma responsable.
La vulnerabilidad digital y los Ministerios de Sanidad
En Italia, esto se tradujo en una grave vulnerabilidad de los datos de millones de personas, aunque el Ministro de Sanidad, Roberto Speranza, al menos se puso manos a la obra, como ya se ha mencionado.
Sin embargo, las cosas eran un poco menos seguras, aunque divertidas, en el Ministerio de Sanidad de Malasia.
A principios de este año, el Ministro de Sanidad de Malasia, el Dr. Adham Baba, mostró un código QR en directo por televisión. Esto se hizo en el marco de la retransmisión en directo del programa de certificación digital propio de Malasia. Cuando los camarógrafos hicieron zoom y el vídeo se colgó en las redes sociales malasias, llegó a manos de unos cuantos curiosos, a los que se les antojó echar un vistazo por debajo.
El resultado fue una página de SoundCloud propiedad de un hombre de Cardiff, Inglaterra, que trabajaba en educación digital (y subía música electrónica) bajo el seudónimo de ICT Evangelist. Para algunos, esto no es más que otra historia extraña en un año ya de por sí extraño, aunque demuestra lo que el homólogo italiano del ministro Baba estaba tratando de decir: que si subes tus códigos QR a las redes sociales, alguien intentará acceder a ellos y revelar información confidencial.
Más riesgos para la seguridad de los QR
Tampoco todo se limita a compartir irresponsablemente códigos QR. Cuando casi 20 millones de personas descargaron sus pases verdes este verano, surgió un rápido mercado negro. Según las noticias italianas, varios ciberdelincuentes obtuvieron un rápido beneficio creando pases falsos. Citando el comunicado de la policía postal italiana:
«Miles de usuarios se registraban en conocidas plataformas de comunicación donde se ponían a la venta falsos pases verdes, con absoluta garantía de anonimato, a pagar en criptodivisas o vales para plataformas de compra online, a un precio de entre 150 y 500 euros (175 y 590 dólares).»
Está claro que existe un gran mercado para el uso indebido de esta tecnología y, sin las medidas adecuadas, la intimidad y la salud de las personas podrían correr un grave peligro.
Escanear códigos QR también puede llevar a usuarios desprevenidos a sitios web maliciosos: pocas personas, si es que hay alguna, comprueban la dirección exacta a la que les redirige un código QR, y bastantes han sido víctimas del «qishing».
Esta nueva variante del «phishing» envía códigos QR por correo electrónico a víctimas desprevenidas, que escanean el contenido sólo para descubrir que su teléfono móvil ha sido infectado por virus o programas espía ocultos.
Cómo los códigos QR obstaculizaron la criptomoneda
Otra de las tecnologías que acompañó a la última década fue la criptomoneda, ya que la tecnología blockchain comenzó a extenderse por todo el mundo, al igual que el uso de los códigos QR.
Sin embargo, algunos comerciantes desafortunados pasaron por momentos difíciles. Como los bitcoins se componen de datos, a menudo se incrustan en códigos QR para que la gente los escanee. Esto provocó un aumento de los estafadores que creaban códigos QR para hacerse pasar por intercambios legítimos de BTC.
Cómo pueden aumentar la seguridad los códigos QR
Después de toda esta información, lo más probable es que hayas perdido la fe en el sistema de códigos QR. Sin embargo, no hay que descartarlo demasiado rápido: aparte de su espectacular facilidad de uso y su bajo coste , los códigos QR también ofrecen algunas formas de reforzar la seguridad digital.
He aquí un par de técnicas clave:
Autenticación multifactor
A menudo encontrará la MFA o autenticación multifactor al realizar transacciones por Internet, iniciar sesión en entornos de alta seguridad o incluso como una forma supersegura de bloquear sus dispositivos personales.
QR añade un nivel extra de seguridad a MFA incluyendo un código QR que tus dispositivos registrados pueden escanear. Así, no sólo ofrece un código de inicio de sesión cifrado, sino que también hace que el proceso sea tan sencillo como abrir la cámara del teléfono.
Sistemas de pago por móvil
Pongamos que le debes a un amigo una cena de anoche: la próxima vez que os veáis, los códigos QR podrían desempeñar un papel clave para ayudaros a saldar la transacción de la forma más segura y cómoda posible.
En lugar de tener que enviar largos y complicados datos bancarios, basta con que tu amigo escanee un código QR que aparece en la pantalla de tu teléfono, generado por un sistema de pago móvil.
En cuestión de segundos, puedes recibir y enviar dinero de forma fácil y segura, sin necesidad de compartir la información de la cuenta real con la otra parte.
La necesidad de información sobre la seguridad de los códigos QR
Naturalmente, los códigos QR son una tecnología asombrosa que agilizó las operaciones comerciales de miles de empresas y ayudó a salvar vidas y promover el distanciamiento social durante la pandemia.
Sin embargo, como cualquier tecnología, puede ser mal utilizada cuando la manejan personas malintencionadas.
La respuesta está en educarnos sobre los riesgos de vivir en un mundo cada vez más digital, comprender cómo la tecnología que utilizamos maneja la información sensible y mantenernos alerta y responsables en la medida de nuestras posibilidades.
Siga leyendo para conocer algunos consejos cruciales sobre la seguridad de los códigos QR.
Seguridad de los códigos QR: consejos para proteger sus datos
Para facilitarle este proceso, hemos recopilado una serie de consejos clave que debe recordar sobre el uso de los códigos QR. Cíñete a ellas y tus datos permanecerán seguros y sin riesgos.
Asegúrese de que su código QR no ha sido manipulado
Una de las formas más comunes de utilizar maliciosamente los códigos QR es superponer códigos legítimos con otros falsos diseñados para redirigir los escáneres a sitios web dañinos.
Siempre que escanee un código QR impreso en zonas públicas, asegúrese de que el código no ha sido manipulado o sustituido por una pegatina de otro ilícito. Además, preste atención al diseño y la alineación: si no le parece correcto, piénselo dos veces antes de escanear.
Sólo compatible con HTTPS
Esta capa de datos cifrados significa que la sesión entre el servidor web y el navegador del dispositivo móvil que está utilizando está cifrada. En pocas palabras, siempre que accedas a una página web que empiece por https:// en lugar de http://, estará accediendo a una red mucho más segura que te protege a ti y al sitio web de cualquier fisgón.
El Protocolo Seguro de Transferencia de Hipertexto (HTTPS) es una combinación del Protocolo de Transferencia de Hipertexto (HTTP) con el protocolo Secure Socket Layer (SSL)/Transport Layer Security (TLS). TLS es un protocolo de autenticación y seguridad ampliamente implantado en navegadores y servidores web.
SSL funciona utilizando una clave pública para cifrar los datos transferidos a través de la conexión SSL, lo que le permite a usted y a sus clientes comunicarse de forma segura con el servidor web, sin que nadie más escuche.
Tómate el tiempo necesario para leer tus URL
Sí, sabemos que esto suena molesto, pero escúchanos un momento.
Una de las formas más comunes que tienen los ladrones de datos de robar información, como los datos de inicio de sesión, es crear sitios web que se hacen pasar por legítimos, a menudo denominados sitios web de phishing.
Como los códigos QR se utilizan a menudo para dirigir a los usuarios a páginas de inicio de sesión, asegúrate de leer y verificar exactamente cuál es el enlace. Por lo general, una página de phishing no contará con protección HTTPS y puede contener un error tipográfico fácil de pasar por alto en la URL.
Por ejemplo, muchas personas han sido víctimas de estafas de suplantación de identidad en sitios web diseñados para parecerse a la página de inicio de sesión de Apple, pero que en realidad pretenden hacerse con tu contraseña e ID de inicio de sesión. Si alguna vez te encuentras con algo como «appl-eserv.com», lo mejor es que des media vuelta.
Cuidado con los acortadores de enlaces
Cada vez que utilice su teléfono para escanear un código QR, es probable que le envíe una ventana emergente con la dirección web a la que le redirige el código. Aunque lo ideal es que sean enlaces fácilmente comprensibles y seguros, a veces también encontrarás enlaces acortados, generados en sitios web como bit.ly y TinyURL.
Aunque varias empresas utilizan enlaces acortados para racionalizar su huella digital (y a veces aumentar el reconocimiento de la marca), también pueden suponer un riesgo para la seguridad, ya que las URL acortadas no suelen revelar nada sobre el sitio web real.
De nuevo, si el acortador de enlaces cuenta con protección HTTPS, probablemente sea legítimo.
Mantén actualizado el software antivirus de tu teléfono
Dicen que la prevención es la mejor cura, pero ¿qué hacer cuando se puede encontrar malware en cualquier rincón de Internet?
Lo mejor es que tomes tu seguridad en tus manos y mantengas protegido tu smartphone, y todo empieza por utilizar un sistema antimalware potente y actualizado.
Estos escanearán periódicamente su dispositivo, borrarán amenazas y le advertirán de enlaces peligrosos y otras vulnerabilidades cuando se configuren correctamente.
Ten cuidado cuando te pidan datos personales
A menudo, un código QR puede redirigirle a una página web que le pida información personal, desde direcciones de correo electrónico relativamente inocuas hasta importantes contraseñas bancarias.
Naturalmente, mantente alerta y evite dar información por descuido: si una página te pide algo demasiado importante, lo mejor es echarse atrás. Muchas empresas y administraciones públicas están utilizando formularios sin contacto, que aportan un nivel adicional de seguridad al proceso.
Ten en cuenta estas precauciones cuando te enfrentes a un código QR y estarás bien protegido contra posibles contratiempos.
¿Cómo garantizan las empresas de QR la seguridad de los usuarios?
Si estás pensando en utilizar códigos QR para gestionar tu empresa de forma más eficaz, también tendrás que proporcionar fuertes medidas de seguridad y privacidad para tu organización y tus clientes.
Un buen generador de códigos QR con una sólida reputación y una larga trayectoria tiene esto en cuenta – QRcodeKit.com, por ejemplo, utiliza los siguientes protocolos para mantener a salvo los datos de cualquier escáner:
Un sistema detallado contra la ciberdelincuencia
QRcodeKit.com utiliza un sistema especializado para detectar ataques dañinos, pasivos y activos. Sus configuraciones de seguridad se ajustan a las normas corporativas globales más avanzadas, así como a la normativa gubernamental.
También cuentan con el apoyo de varios servicios de ciberseguridad, como PhishLabs, Phishing Protection API de Google y Amazon Security Team, que ayudan a su equipo a encontrar y acabar rápidamente con actividades maliciosas en forma de phishing, spam, pharming o cross-site scripting.
Seguridad estadística a prueba de balas
Es bien sabido que todos los generadores de códigos QR aprovechan las técnicas de recopilación de datos; aunque las empresas pueden utilizarlos para prestar un mejor servicio a sus clientes, los piratas informáticos también pueden minarlos.
Un buen generador de códigos QR mantendrá sus datos bajo llave. En el caso de QRcodeKit.com, estandarizamos el cumplimiento de la GDPR, la norma europea que impone la protección de datos más segura del mundo, con duras sanciones para disuadir a cualquier posible infractor.
Transparencia con seguimiento de datos
También es esencial establecer una idea clara y transparente de la información que rastrearán los códigos QR de un generador. QRcodeKit.com es conocido por mantener las cosas sencillas en nuestra página web – enumerando las siguientes variables de seguimiento:
Cuando fueron escaneados.
Dónde fueron escaneados.
Cuántas veces se han escaneado.
Qué tipo de sistema operativo los escaneó.
Edad y sexo de las personas que los han escaneado (solo si tu configuración de privacidad de Google está establecida en pública, lo cual puedes cambiar).
A medida que las empresas confían cada vez más en el análisis de datos, es importante no sacrificar nunca la seguridad del cliente en aras de una información potencialmente rentable.
Un equipo de asistencia de ciberseguridad 24 horas al día, 7 días a la semana
Los elementos maliciosos de Internet no se toman días libres. Por lo tanto, si has acabado poniendo en peligro tus datos o te has enfrentado a cualquier otro problema, tienes que trabajar lo más rápido posible por el bien del control de daños.
QRcodeKit.com ofrece un equipo de asistencia las 24 horas del día, los 7 días de la semana, capacitado para responder con rapidez y orientar a empresas, gobiernos, instituciones o particulares que denuncien actividades sospechosas: si te ves inmerso en una crisis de seguridad digital, necesitas a alguien útil a tu lado.
Un sólido sistema de copias de seguridad
En caso de emergencia, como una filtración de datos, un proveedor de códigos QR debe mantener un sistema infalible de copias de seguridad.
En el caso de QRcodeKit.com, esto se hace mediante una configuración de duplicación de servidores, junto con copias de seguridad cada hora para una fiabilidad absoluta. Si encuentras algún sitio web malicioso, asegúrate de enviar un informe a QRcodeKit.com siguiendo estas instrucciones para informar sobre actividades QR sospechosas. QRcodeKit. com se toma muy en serio este tipo de problemas e incluye inmediatamente en su lista negra cualquier sitio web que resulte ser dañino.
Conclusión
Los códigos QR son el futuro, no cabe duda. Dado que los gobiernos y las empresas grandes y pequeñas de todo el mundo adoptan cada vez más los códigos QR, para muchos de nosotros ya son algo cotidiano.
Sin embargo, junto a este uso a gran escala surge una necesidad masiva de escaneado seguro y responsable de códigos QR. Aquí es donde entra en juego un generador de códigos QR fiable como QRcodeKit.com, que ofrece años de experiencia y una larga lista de clientes de confianza.
