La evolución de las nuevas tecnologías ha permitido desarrollar nuevos mecanismos, como son los códigos QR, que permiten simplificar la forma en la que consumimos información de Internet. Sin embargo, estos pueden comprometer nuestra seguridad.

En la actualidad el uso de los códigos QR se ha extendido masivamente y nos hemos acostumbrado a ver códigos QR en muchos sitios: carteles informativos, billetes de avión, entradas para un evento, revistas, cartas de restaurantes, parkings, etc. Además, los podemos encontrar proyectados en edificios, en el cielo por drones como entrada a la realidad aumentada, como método de pago o incluso en senderos del monte para consultar rutas de trekking. 

Hoy en día, a través de cualquier cámara de un smartphone o tablet  se pueden escanear estos códigos para acceder directamente, por ejemplo, a una página web o descargar una aplicación. Esto ha permitido que todo sea mucho más fácil, es decir, ya no es necesario teclear una URL en el navegador del teléfono para acceder a ella.

Los peligros

Ahora bien, no todo es de color de rosa cuando hablamos de códigos QR.  ¿Qué riesgos puede suponer escanear un simple código con la cámara del móvil? Algunas de las preguntas que planteamos a continuación, pueden hacernos abrir los ojos:

• ¿Sabes de antemano a qué página web te redirige un código QR?
• Si la respuesta anterior es no, ¿te has planteado que existe alguna posibilidad de que esa web no sea lo que esperas encontrar? (Contenido violento, pedófilo, drogas, armas, etc.)
• ¿Qué pasa si el código QR te lleva a la descarga de una app que promete tener una funcionalidad, pero que en realidad te suscribe a servicios SMS Premium?
• ¿O si dicha app es capaz de explotar fallos de seguridad del sistema operativo para robarte información privada?
• ¿O si infecta tu dispositivo y te hace perder toda la información que en él guardas? Contraseñas, fotos, vídeos, documentos…

¿Cómo acceder a un código QR?

Acceder a la información que contiene un código QR es una tarea aparentemente sencilla: sólamente debemos hacer uso de nuestra cámara de teléfono y enfocar al código. Casi todos los móviles actuales del mercado, tanto de Android como iOS, tienen instalada de forma automática en la cámara una herramienta que permite escanear los códigos. No obstante, hay aplicaciones que nos permiten mejorar la seguridad cuando queremos acceder o descargar la información de un código QR.: mediante una aplicación específica, tras escanear el QR nos abre una pestaña donde, antes de entrar en el URL, se nos permite observar el link completo. Gracias a esto podemos evitar los problemas de los links acortados. 

Obviamente, si alguien pretende que instales una app maliciosa, no le va a poner el nombre de "APKMaliciosa.apk" o "EstoEsUnaAplicacionFraudulenta"; al contrario, intentará por todos los medios poner un nombre al enlace o ruta que pase desapercibido y no te haga sospechar, por ejemplo, "AppHamburguesaGratis.apk".

Entonces, ¿cómo se puedo saber si lo que voy a visitar o instalar no nos expone a ningún riesgo? A continuación, te proporcionamos algunas recomendaciones  que puedes aplicar:

• Si a primera vista, la URL nos parece sospechosa, directamente no debemos acceder a ella.
• Asegurarnos de que la web a la que vamos a acceder siempre cumple con estándares de protección y navegación segura, como, por ejemplo, que tenga HTTPS.  
• Hacer uso de analizadores de enlaces, como VirusTotal y URLVoid. De esta manera, antes de abrir la web podremos comprobar que no se trata de ningún ataque de ingeniería social como Qrishing, conocido como el phishing o smishing de los códigos QR.  
• También podemos recurrir a aplicaciones, como Kaspersky QR Scanner, disponible en Android e iOS, que realizan una serie de chequeos de seguridad antes de activar el código QR en el smartphone. 
• No proporcionar ningún dato privado ni ninguna contraseña a páginas web que hayamos accedido a través de un código QR. Es conveniente que si accedemos a páginas de bancos o tiendas online donde introducimos datos de nuestra tarjeta bancaria, lo hagamos desde la URL completa o a través de su aplicación propia. 

Fuente: Oficina de Seguridad del Internauta OSI