Primero se generalizaron los códigos de barras y ahora los códigos QR (Quick Response o respuesta rápida). Creados por la empresa Denso Wave del grupo Toyota en el año 1994, en la actualidad están por todos lados, pero ¿son tan inocentes como parecen?.
Los códigos QR parecen inofensivos y lo son en su gran mayoría. La matriz se lee en el dispositivo móvil que, por lo general, nos dirige a una página web o a un perfil en una red social, o nos permite descargar determinados contenidos o aplicaciones, guardar un contacto en la agenda o una cita en el calendario, obtener tarjetas de fidelización, entradas, realizar pagos, conectarnos a una red wifi y un largo etcétera.
El problema es que ciertos códigos QR pueden rastrear y analizar el comportamiento de los usuarios, pudiendo recopilar datos personales como el historial de compras o su información de contacto, que las empresas pueden llegar a comercializar; por ello, se advierte necesario informar al usuario sobre el tratamiento de datos personales cuando se facilitan estos a través del enlace.
Dudo que la mayoría de los restaurantes tengan la tentación de perfilar a sus clientes en atención a sus hábitos de consumo, pero no lo tengo tan claro en el caso de empresas–franquicia o cadenas de restauración, que todos conocemos, o en el caso de las empresas de creación y venta de moda, entre otros ejemplos. Los datos de consumo en economías de escala son muy jugosos.
Suplantación de identidad
Con lo que hay que tener cuidado es con las suplantaciones de identidad, es decir, con los códigos QR que se colocan sobre los originales y que lanzan al usuario a una web clonada con el fin de que facilite sus datos personales. Una pegatina con un código QR sobre otro código QR es una señal de alerta.
Los ataques que se producen cuando el acceso a la web fraudulenta se realiza escaneando la URL contenida en un código QR se conoce como «Qrishing». Para protegernos de una estafa por Qrishing debemos desactivar la opción de que los sitios se abran automáticamente. De esta manera se podrá comprobar la dirección a la que enlaza el código QR.
Otra modalidad de ciberataque a través de códigos QR se conoce como «QRLJacking». Se produce cuando se engaña a la víctima para que escanee un código QR modificado que suplanta al original, de forma que el atacante captura las credenciales de la sesión de inicio de la víctima. Es más habitual de lo que creen.
Un ejemplo de suplantación de identidad son las multas falsas que se colocaron en vehículos en la ciudad de Madrid, suplantando la identidad del Ayuntamiento.
No pretende estigmatizar a los códigos QR, ni mucho menos. El problema es que algunos hacen un mal uso de ellos y deben estar informados.
—
Actualización
https://perception-point.io/blog/qr-code-red-quishing-attacks-and-how-to-prevent-them/