Els codis QR poden ser una via per a les estafes

Els restaurants els tenen a les taules, els hotels els ofereixen per mostrar els seus serveis i els museus els utilitzen per donar instruccions a les sales o revelar els secrets de les seues obres. Els codis QR estan de moda, més després de la pandèmia, però són segurs? Què poden fer els usuaris per evitar les estafes?

Un codi QR és un tipus de codi de barres escanejable que està dissenyat per ser llegit i interpretat instantàniament per un dispositiu digital. Existeixen des de 1994 i un pot emmagatzemar fins 4.296 caràcters alfanumèrics. Els que s’utilitzen habitualment solen contenir menys caràcters, la qual cosa permet una fàcil descodificació amb la càmera d’un mòbil intel·ligent.

En la dècada dels 90, un enginyer de l’empresa Denso Wave, subministradora de components per a Toyota, va voler millorar el sistema d’etiquetatge de les caixes de materials que es distribuïen per la fàbrica, relaten des de la Universitat Oberta de Catalunya (UOC). Masahiro Hara va crear un nou sistema que superava als codis de barra que va cridar "quick response" (de resposta ràpida). Un dia, jugant al típic joc japonès Go se li va ocórrer com utilitzar aquests punts blancs i negres per codificar la informació en dos dimensions en lloc d’una, com aconseguia els codis de barra.

Encara que aquests quadrats existeixen des de 1994, no es van convertir en un "nom veritablement familiar" fins l’era covid. Avui dia, descriuen des de la companyia de ciberseguretat ESET, es poden veure per tot arreu i s’utilitzen per a tot, des de mostrar menús dels restaurants fins facilitar les transaccions sense contacte.

La versatilitat, una arma de doble fil

Les cadenes de text que es codifiquen en un QR poden contenir diverses dades i els codis poden utilitzar-se per obrir webs, descarregar un arxiu, afegir un contacte, connectar-se a una Wi-Fi i fins i tot realitzar pagaments. La seua versatilitat pot ser una arma de doble tall. El seu ús generalitzat ha cridat l’atenció dels estafadors, que els poden utilitzar amb finalitats malintencionades.

Igual com els atacants poden utilitzar anuncis maliciosos i altres tècniques per dirigir les víctimes a llocs fraudulents, poden fer el mateix amb els QR. Per exemple, podrien manipular fàcilment el QR per enganyar l’usuari i fer que descarregui un fitxer PDF maliciós o una aplicació mòbil fraudulenta, segons ESET.

Així mateix, els delinqüents podrien modificar un QR d’una transacció financera amb les seues pròpies dades i rebre pagaments en el seu compte, i podrien enganxar un codi, generat per dirigir cap a una URL maliciosa, a sobre d’un QR bo que sigui en un cartell de concerts.

La clau, sentit comú

Per això, coincideixen els experts consultats per Efe, cal tenir sobretot sentit comú i desconfiar d’allò que no vegem clar. Jordi Serra, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació a la UOC, recomana configurar els dispositius perquè no obrin directament els enllaços -els últims sistemes operatius ja ho fan-, per poder veure abans quina URL punxaràs.

Cal assegurar-se de no introduir dades personals o que no ens estiguem baixant un fitxer, per exemple. "A simple vista és molt difícil saber si un QR és maliciós o no. Potser la primera recomanació sigui saber on és", resumeix Fabián Torres, de Sicpa: "si és a l’interior d’un edifici oficial o en un restaurant podem pressuposar que és probable que no sigui maliciós".

Al contrari, "si és al carrer en un lloc on qualsevol pot col·locar-lo (fanal, façana, pal) ja hem de començar a prendre precaucions, especialment si ve acompanyat d’una propaganda tremendament atractiva i inusual com incitant-nos a capturar-lo". A més del lloc, cal prendre totes les precaucions habituals de protecció de dispositius: contrasenyes, últimes versions del sistema operatiu i de les aplicacions, anticodi maliciós, antivirus, etc. "Cada dia veiem codis QR manipulats"; un exemple és el cas de les proves PCR. "I la veritat no s’ha de fer una enginyeria ni anar a la internet profunda per manipular o alterar aquests codis, a internet es pot trobar com canviar-los", indica Torres.

No obstant, existeixen QR "impossibles de manipular o falsificar" que combinen tecnologia innovadora -per exemple, algoritmes criptogràfics matemàtics i blockchain-. "La nostra solució Certus es fa servir amb èxit a tot el món per a certificats covid, títols universitaris o certificació de documents públics i oficials", diu l’expert de Sicpa.