Cómo utilizar correctamente los códigos QR

24 marzo, 2022

(Més avall trobareu la versió en català d’aquest contingut: Com fer servir correctament els codis QR.)

Ya desde mucho antes de la pandemia de la covid, los códigos QR existían y se utilizaban en ocasiones puntuales. Se podían ver en algunos museos o en trípticos, y las personas que querían ampliar información podían escanear estos nuevos códigos para acceder a material con información más concreta.

¿Pero tenemos claro qué es un código QR?

En 1994, un ingeniero de la empresa Denso Wave, que suministra componentes para la marca de coches Toyota ―de hecho, es una filial suya―, quiso mejorar el sistema de etiquetado de las cajas de componentes que debían distribuir por las distintas partes de la fábrica. Hasta entonces, utilizaban el ya conocido código de barras, que permite codificar un número con unas barras verticales de diferente grosor traduciéndolo a un número que, consultando una base de datos, nos permite saber qué producto es o, en ese caso, dónde debía llevarse la caja. Los códigos de barras todavía los utilizamos de forma masiva en todos los productos de los supermercados, donde los lee un lector que consulta qué producto es y lo pone en la lista de la compra.

Esta persona era Masahiro Hara y los llamó quick response (códigos de respuesta rápida), ya que su contenido se obtiene de una forma muy rápida. Estuvo pensando en cómo mejorar estos códigos de barras, que eran limitados y, además, implicaban tener que acceder a una base de datos para saber qué representaban. Un día, jugando al típico juego japonés go —se puede ver la similitud con los códigos QR en la figura 1—, se le ocurrió cómo utilizar estos puntos blancos y negros para codificar la información en dos dimensiones en lugar de una, como se hacía con los códigos de barras.

Figura 1: juego del go japonés (Wikipedia).

Hara diseñó un método para poder codificar cualquier frase en el sistema ASCII y, de ahí, trasladarla al sistema binario, que se representaría con estos puntos de color banco y negro. Básicamente, la codificación de los datos (letras y números) que se desea introducir se va rellenando empezando por la parte baja del QR y terminando por la parte alta.

Por tanto, dentro del QR hay un conjunto de caracteres que un dispositivo es capaz de decodificar a partir de la imagen obtenida. Un ejemplo podría ser una URL de internet. Así, por ejemplo, el QR en el que guardamos la dirección de la universidad puede verse en la figura 2.

Figura 2: https://www.uoc.edu.

Como podemos ver, es muy fácil crear un código QR para «esconder» una URL o un acceso a una descarga de un archivo a través del web

Los problemas de seguridad de los códigos QR

Con la pandemia, estos códigos se han extendido por muchos establecimientos, sobre todo en restaurantes, a fin de que los clientes no tengan que tocar los papeles de las cartas de menús. Muchos restaurantes directamente los han pegado en las mesas. Los museos los utilizan ahora para dar instrucciones de cada sala, de los itinerarios, etc. Incluso se usan para realizar llamadas o para dar la información de conexión de una wifi pública.

¿Pero cuál es el problema con el que podemos encontrarnos? Pues que los códigos QR cambian los caracteres por una imagen que las personas no podemos entender directamente. Necesitamos un dispositivo que convierta la imagen en caracteres, y, si el dispositivo entra directamente en la URL o en la descarga del archivo, podemos tener un problema de seguridad.

Por eso debemos configurar bien los dispositivos para que no abran directamente los enlaces, para poder ver antes qué dirección de internet es la que esconde el código QR o qué información tiene codificada.

Un ciberdelincuente podría pegar un código QR generado para dirigir hacia una URL maliciosa encima de un código bueno que esté en la mesa de la terraza de un restaurante. Las personas que abran el QR pensarán que realmente es el que ha puesto el establecimiento y entrarán sin pensárselo.

Asimismo, podemos encontrar un QR en un cajero automático que simula que es el acceso para poder entrar en la aplicación del banco.

Incluso podemos encontrar códigos QR con una codificación call to y que sirven para llamar directamente a un número de teléfono, de modo que un ciberdelincuente podría crear un QR que llame a un número de alta tarificación.

También podría crearse un web falso de compra de tiques en línea aprovechando un concierto o un acto. Solo habría que crear un código QR que se pegara sobre el cartel oficial del concierto para hacer creer a la gente que es el código oficial y que permite comprar entradas más baratas, pero que hay que hacerlo lo más pronto posible porque la oferta termina rápido. Si hacemos clic y entramos, seguramente se hará una compra de las entradas falsas con la tarjeta de crédito. Por tanto, estaremos dando la tarjeta a los ciberdelincuentes.

Además, podemos tener el problema añadido de que en lugar de la URL se haya utilizado un reductor de direcciones y no se vea la dirección entera, sino una dirección corta que no podemos saber seguro dónde va a parar. Por ejemplo, las URL de Twitter o LinkedIn. En los casos en los que no se puede ver dónde va a parar la URL, lo mejor es desconfiar y verificar que el código QR es legítimo y es el mismo que ha puesto el establecimiento. Hay sitios web que convierten las direcciones cortas de internet en las reales, lo que nos permitirá ver realmente dónde va a parar la URL escondida con un acortador de direcciones dentro del código QR.

Sobre todo, debemos tener sentido común y desconfiar de los códigos QR que no tengamos muy claro que son los reales, es decir, los que un establecimiento ha colocado para que su clientela los utilice.

Com fer servir correctament els codis QR

Ja des de molt abans de la pandèmia de la covid, els codis QR existien i es feien servir en ocasions puntuals. Es podien veure en alguns museus o en tríptics, i les persones que volien ampliar informació podien escanejar aquests nous codis per accedir a material amb informació més concreta.

Però tenim clar què és un codi QR?

L’any 1994, un enginyer de l’empresa Denso Wave, que subministra components per a la marca de cotxes Toyota ―de fet, n’és una filial―, va voler millorar el sistema d’etiquetatge de les caixes de components que havien de distribuir per les diferents parts de la fàbrica. Fins llavors, feien servir el ja conegut codi de barres, que permet codificar un número amb unes barres verticals de diferent gruix traduint-lo a un número que, consultant una base de dades, ens permet saber quin producte és o, en aquell cas, on s’havia de portar la caixa. Els codis de barres encara els fem servir massivament en tots els productes dels supermercats, on els llegeix un lector que consulta quin producte és i el posa a la llista de la compra.

Aquesta persona era Masahiro Hara i els va anomenar quick response (codis de resposta ràpida), atès que el contingut s’obté d’una manera molt ràpida. Va estar pensant com podia millorar aquests codis de barres, que eren limitats i, a més, implicaven haver d’accedir a una base de dades per saber què representaven. Un dia, jugant al típic joc japonès go —es pot veure la similitud amb els codis QR a la figura 1—, se li va ocórrer com podia fer servir aquests punts blancs i negres per codificar la informació en dues dimensions en lloc d’una, com es feia amb els codis de barres.

Figura 1: joc del go japonès (Viquipèdia).

Hara va dissenyar un mètode per poder codificar qualsevol frase al sistema ASCII i, d’aquí, traslladar-la al sistema binari, que es representaria amb aquests punts de color banc i negre. Bàsicament, la codificació de les dades (lletres i números) que es vol introduir es va omplint començant per la part baixa del QR i acabant per la part alta.

Per tant, dins el QR hi ha un conjunt de caràcters que un dispositiu és capaç de descodificar a partir de la imatge obtinguda. Un exemple podria ser un URL d’internet. Així, per exemple, el QR en el qual desem l’adreça de la Universitat es pot veure a la figura 2.

Figura 2: https://www.uoc.edu.

Com podem veure, és molt fàcil crear un codi QR per «amagar» un URL o un accés a una baixada d’un fitxer mitjançant el web.

Els problemes de seguretat dels codis QR

Amb la pandèmia, aquests codis s’han estès per molts establiments, sobretot en restaurants, a fi que els clients no hagin de tocar els papers de les cartes de menús. Molts restaurants directament els han enganxat a les taules. Els museus els fan servir ara per donar instruccions de cada sala, dels itineraris, etc. Fins i tot s’utilitzen per fer trucades o per donar la informació de connexió d’una wifi pública.

Però quin és el problema amb què ens podem trobar? Doncs que els codis QR canvien els caràcters per una imatge que les persones no podem entendre directament. Necessitem un dispositiu que converteixi la imatge en caràcters, i, si el dispositiu entra directament a l’URL o a la baixada del fitxer, podem tenir un problema de seguretat.

Per això hem de configurar bé els dispositius perquè no obrin directament els enllaços, per poder veure abans quina adreça d’internet amaga el codi QR o quina informació té codificada.

Un ciberdelinqüent podria enganxar un codi QR generat per dirigir cap a un URL maliciós a sobre d’un codi bo que sigui a la taula de la terrassa d’un restaurant. Les persones que obrin el QR es pensaran que realment és el que ha posat l’establiment i hi entraran sense pensar-s’ho.

Així mateix, podem trobar un QR en un caixer automàtic que fa veure que és l’accés per poder entrar a l’aplicació del banc.

Fins i tot podem trobar codis QR amb una codificació call to i que serveixen per trucar directament a un número de telèfon, de manera que un ciberdelinqüent podria fer un QR que truqui a un número d’alta tarifació.

També es podria crear un web fals de compra de tiquets en línia aprofitant un concert o un acte. Només caldria fer un codi QR que s’enganxés sobre el cartell oficial del concert a fi de fer creure a la gent que és el codi oficial i que permet comprar entrades més barates, però que s’ha de fer com més aviat millor perquè l’oferta s’acaba ràpidament. Si hi cliquem i hi entrem, segurament es farà una compra de les entrades falses amb la targeta de crèdit. Per tant, donarem la targeta als ciberdelinqüents.

A més, podem tenir el problema afegit que en lloc de l’URL s’hagi fet servir un reductor d’adreces i no es vegi l’adreça sencera, sinó una de curta que no podem saber segur on va a parar. Per exemple, els URL de Twitter o LinkedIn. En els casos en què no es pot veure on va a parar l’URL, és millor desconfiar i verificar que el codi QR és legítim i és el mateix que ha posat l’establiment. Hi ha llocs web que converteixen les adreces curtes d’internet en les reals, fet que ens permetrà veure realment on va a parar l’URL amagat amb un escurçador d’adreces dins del codi QR.

Sobretot, hem de tenir sentit comú i desconfiar dels codis QR que no tinguem molt clar que són els reals, és a dir, els que un establiment ha col·locat perquè la clientela els utilitzi.

(Visited 17 times, 1 visits today)
Autor / Autora
Doctor en Ingeniería Informática por la UOC y profesor en la misma universidad. Además, es especialista en Ciberseguridad y hacking ético.
Comentarios
Deja un comentario