Primero se generalizaron los códigos de barras y ahora los códigos QR (Quick Response o respuesta rápida). Creados por la empresa Denso Wave del grupo Toyota en el año 1994, en la actualidad están por todos lados, pero ¿son tan inocentes como parecen?
Los códigos QR parecen inofensivos y lo son en su gran mayoría. La matriz se lee en el dispositivo móvil que, por lo general, nos dirige a una página web o a un perfil en una red social, o nos permite descargar determinados contenidos o aplicaciones, guardar un contacto en la agenda o una cita en el calendario, obtener tarjetas de fidelización, entradas, realizar pagos, conectarnos a una red Wi-Fi y un largo etcétera.
El problema es que ciertos códigos QR pueden rastrear y analizar el comportamiento de los usuarios, pudiendo recopilar datos personales como el historial de compras, ubicación en tiempo real o información de contacto, que las empresas pueden llegar a comercializar o utilizar para perfiles publicitarios avanzados; por ello, se advierte necesario informar al usuario sobre el tratamiento de datos personales cuando se facilitan estos a través del enlace.
Dudo que la mayoría de los restaurantes tengan la tentación de perfilar a sus clientes en atención a sus hábitos de consumo, pero no lo tengo tan claro en el caso de empresas franquiciadas o cadenas de restauración, que todos conocemos, o en el caso de las empresas de creación y venta de moda, entre otros ejemplos. Los datos de consumo en economías de escala son muy jugosos. Por ejemplo, el análisis predictivo basado en códigos QR permite optimizar inventarios y campañas, pero también plantea riesgos éticos si no se transparenta el uso de datos personales.
Suplantación de identidad
Con lo que hay que tener cuidado es con las suplantaciones de identidad, es decir, con los códigos QR que se colocan sobre los originales y que lanzan al usuario a una web clonada con el fin de que facilite sus datos personales. Una pegatina con un código QR sobre otro código QR es una señal de alerta. Por ejemplo, una estafa común consiste en códigos QR falsos en parquímetros. Los conductores desprevenidos que escanean estos códigos son redirigidos a un sitio web de phishing que imita el portal de pago oficial, lo que permite acceder a información financiera comprometida. La Policía Nacional ya advirtió sobre esta práctica en ciudades como Madrid o Barcelona, alertando a los usuarios.
Los ataques que se producen cuando el acceso a la web fraudulenta se realiza escaneando la URL contenida en un código QR se conoce como Qrishing. Para protegernos de una estafa por Qrishing debemos desactivar la opción de que los sitios se abran automáticamente. De esta manera se podrá comprobar la dirección a la que enlaza el código QR.
Otra modalidad de ciberataque a través de códigos QR se conoce como QRLJacking. Se produce cuando se engaña a la víctima para que escanee un código QR modificado que suplanta al original, de forma que el atacante captura las credenciales de la sesión de inicio de la víctima. Es más habitual de lo que creen, especialmente en servicios de login como WhatsApp o plataformas de streaming, donde en enero de 2025 hackers comprometieron miles de cuentas premium mediante esta técnica.
Conclusión
No pretende estigmatizar a los códigos QR, ni mucho menos. El problema es que algunos hacen un mal uso de ellos y deben estar informados.
