Aunque últimamente se ha puesto de moda que los restaurantes utilicen los códigos QR para mostrar el menú o que los hoteles los usen para mostrar sus servicios, éstos pueden ser también una vía para las estafas.
Un código QR es un tipo de código de barras escaneable que está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Existen desde 1994 y uno puede almacenar hasta 4,296 caracteres alfanuméricos.
Los que se utilizan habitualmente suelen contener menos caracteres, lo que permite una fácil descodificación con la cámara de un teléfono inteligente.
En la década de los 90, un ingeniero de la empresa Denso Wave, suministradora de componentes para Toyota, quiso mejorar el sistema de etiquetado de las cajas de materiales que se distribuían por la fábrica.
Masahiro Hara creó un nuevo sistema que superaba a los códigos de barra que llamó ‘quick response’ (de respuesta rápida). Un día, jugando al típico juego japonés Go se le ocurrió cómo utilizar esos puntos blancos y negros para codificar la información en dos dimensiones en lugar de una, como se hacía con los códigos de barra.
Aunque estos cuadrados existen desde 1994, no se convirtieron en un nombre verdaderamente familiar hasta la era covid. Hoy en día, se pueden ver por todas partes y se utilizan para todo, desde mostrar menús de los restaurantes hasta facilitar las transacciones sin contacto.
Las cadenas de texto que se codifican en un QR pueden contener diversos datos y los códigos pueden usarse para abrir webs, descargar un archivo, añadir un contacto, conectarse a una red WiFi e incluso realizar pagos. Su versatilidad puede ser un arma de doble filo.
Su uso generalizado ha llamado la atención de los estafadores, que los pueden usar con fines malintencionados.
Al igual que los atacantes pueden utilizar anuncios maliciosos y otras técnicas para dirigir a las víctimas a sitios fraudulentos, pueden hacer lo mismo con los QR. Por ejemplo, podrían manipular fácilmente el QR para engañar al usuario y hacer que descargue un archivo PDF malicioso o una aplicación móvil fraudulenta, según explica la compañía de ciberseguridad ESET.
Asimismo, los delincuentes podrían modificar un QR de una transacción financiera con sus propios datos y recibir pagos en su cuenta, y podrían pegar un código, generado para dirigir hacia una URL maliciosa, encima de un QR bueno que esté en un cartel de conciertos.
Por ello, siempre se debe tener sentido común y desconfiar de aquello que no veamos claro.