Se han convertido en parte del paisaje cotidiano. Están en las mesas de los restaurantes, en carteles por la calle y en todo tipo de notificaciones, pero pocos usuarios conocen realmente la tecnología que hay detrás de los códigos QR y los riesgos que puede entrañar un gesto tan automatizado como escanearlos. Su uso se ha disparado desde la pandemia, y con ello, las amenazas asociadas. Pablo Pascual, estudiante de ingeniería informática especializado en ciberseguridad y miembro de la asociación Aragón Privacidad, explica su origen y funcionamiento. “Al final, un QR lo que es es un código de barras bidimensional”, aclara. Esta tecnología nació en los años 90 en Japón para optimizar la logística en la industria automovilística. A diferencia de un código de barras tradicional, su formato bidimensional le permite almacenar una gran cantidad de información, desde una simple página web hasta datos de contacto, un correo electrónico o la configuración de una red wifi. La gran comodidad que ofrecen los QR esconde también su principal debilidad: la incertidumbre sobre su destino. “Un QR es una puerta de entrada a algo que no conocemos”, advierte Pascual. Este desconocimiento es el campo de cultivo perfecto para una modalidad de ciberataque conocida como ‘quishing’, un término que combina las palabras ‘QR’ y ‘phishing’. El ‘quishing’ es un ataque de ingeniería social que no se basa en la complejidad técnica, sino en la manipulación del usuario. Los ciberdelincuentes aprovechan la confianza y las prisas para que la víctima escanee un código malicioso. “El objetivo es atacar, ya no a la persona, sino aprovecharnos de la confianza y de la prisa de la persona”, recalca el experto. Según un estudio de Keepnet Labs, uno de cada diez ataques de ‘phishing’ ya utiliza códigos QR, una cifra que se multiplicó por cinco en solo tres meses. Los ejemplos son variados: desde correos electrónicos que simulan ser de un banco o una empresa de mensajería, indicando un problema que requiere una acción inmediata a través de un QR, hasta pegatinas con códigos falsos superpuestas sobre los originales en un establecimiento. El factor común suele ser un mensaje que apela a la urgencia o al miedo. “En ciberseguridad, muchas veces el punto más débil no es la tecnología, es el momento en el que dejamos de pensar”, reflexiona Pascual. Para protegerse no se necesitan conocimientos avanzados. El especialista resume la defensa en cinco reglas básicas: desconfiar de mensajes urgentes, verificar que el QR físico no esté manipulado, revisar la dirección web que muestra el móvil antes de abrirla, utilizar siempre las aplicaciones o webs oficiales para trámites importantes y, por último, mantener el sistema operativo del dispositivo siempre actualizado, ya que los parches suelen corregir brechas de seguridad. Aunque escanear un QR no infecta directamente un dispositivo, sí puede dirigir al usuario a una “trampa diseñada”. El verdadero peligro reside en la acción posterior: introducir datos personales en una web fraudulenta o descargar un archivo malicioso. “La ciberseguridad no consiste en tener miedo ni vivir con ese miedo constante, sino en tener un poquito de criterio”, concluye Pascual. Ese criterio se resume en no escanear de forma automática y tomarse unos segundos para pensar, un pequeño gesto que puede evitar grandes problemas.