Los códigos QR son muy prácticos para compartir desde la contraseña del WiFi a tu número de WhatsApp o la cuenta de Instagram de alguien a quien acabas de conocer. Y poco a poco se va abriendo paso en escaparates, publicidad o puertas de establecimientos para que puedas descargar sus aplicaciones o entrar en sus páginas web. Y qué decir de restaurantes y bares que ofrecen su carta o menú en formato digital a través de un código QR que puedes escanear cómodamente con tu teléfono móvil.

Pero como ocurre con los enlaces cortos, los códigos QR se pueden usar para bien o para mal. Es decir, uno de los problemas de seguridad de los códigos QR es que no sabes realmente a dónde te llevará ese código hasta que no lo escaneas. Eso significa que tienes que pulsar en el enlace para verlo en tu navegador. Y ahí ver si lo que estás viendo es la página de una tienda de ropa o una falsa página que quiere robar tus datos o engañarte para que introduzcas tu tarjeta de crédito.

A continuación repasamos los distintos métodos que emplean los delincuentes con los códigos QR para atacar tu teléfono inteligente. Y, cómo no, veremos qué precauciones tomar para no caer en esas trampas y llevarte sorpresas desagradables como una factura de teléfono demasiado abultada o que tus datos y archivos personales caigan en malas manos.

Escanear códigos QR es fácil pero entraña sus peligros

Escanear códigos QR y seguridad

Decíamos que el código QR es un código que tiene forma de cuadrado con píxeles negros y que sirve para compartir información. Esta información puede ser un enlace a una página web, un mensaje de texto, una imagen colgada en internet, un número de teléfono… Se utilizan códigos QR para realizar pagos, para llevar encima billetes de avión, para consultar la carta de un restaurante, para comprar online, para ver un vídeo publicitado en un cartel en la calle o en una revista o diario… Hay muchas posibilidades.

Además, escanear códigos QR no tiene ningún misterio. Tanto Android como iOS integran en su aplicación de cámara la detección de códigos de este tipo cuando los enfocas con la cámara del teléfono. Así, al detectarlo te muestra el enlace o contenido oculto para que lo abras en tu navegador o lo copies al portapapeles del dispositivo.

Pero detrás de un código QR puede haber un enlace que te lleve a una página falsa. Lo que se conoce como phishing. Página pensada para que introduzcas tus credenciales bancarias, tu cuenta de correo o de alguna tienda online en la que suelas comprar. También puede llevarte a una página para descargar una supuesta aplicación oficial que, en realidad, es falsa e infectará tu teléfono. O te llevará a descargar un malware que se instalará aprovechando un agujero de seguridad de tu teléfono si no está actualizado. O a ejecutar un código JavaScript que hará lo que haya programado su creador.

Hay que ser precavido antes de escanear códigos QR desconocidos
Credit: Kampus Production

Consejos para no caer en estafas con QR

Para evitar escanear códigos QR dañinos hay varias cosas que podemos hacer antes de que nos encontremos con uno. Básicamente, se trata de ser precavidos como ocurre con otros métodos de engaño relacionados con internet o con tu smartphone. Para empezar, tener siempre tus aplicaciones y tu sistema operativo actualizados. Así evitarás que una aplicación falsa o dañina aproveche un agujero de seguridad para hacerse con el contenido de tu teléfono.

En segundo lugar, la manera más directa de evitar un código QR falso es no pulsar en el enlace cuando veas la vista previa. De la misma manera que no debes pulsar en un enlace enviado por un SMS desconocido, no debes entrar en enlaces que no conozcas. Si has escaneado el código QR de un determinado establecimiento pero el enlace no se parece nada a ese negocio o tiene un dominio extraño o genérico, evita abrirlo en tu navegador.

Tanto si vas a escanear códigos QR con la cámara directamente como si utilizas una aplicación específica, verás la vista previa de lo que esconde el código QR. Si es así, puedes buscar el enlace en internet y ver si ya ha sido denunciado.

Una manera de asegurarte de que un enlace es seguro, es que emplee el protocolo HTTPS en vez del clásico HTTP. Si es así, sabrás que esa página es de fiar, si bien esto no garantiza al 100% que la página sea real o una réplica.

Y, para terminar, un consejo importante. Para realizar compras online o hacer pagos por medios digitales, procura hacerlo desde las aplicaciones oficiales y/o las páginas oficiales. No compartas datos bancarios o información de pago en enlaces abiertos con un código QR.

Hay apps para Android para escanear códigos QR con seguridad

Analizar los enlaces tras escanear códigos QR

Para quedarte tranquilo y comprobar si lo que esconde un código QR es seguro o hay detrás una página o aplicación maliciosa, puedes escanear el enlace que aparece al igual que hacemos con los enlaces acortados o con los archivos que descargamos de fuentes desconocidas. Gracias a las páginas de análisis online como VirusTotal y similares, puedes asegurarte de que un enlace es de fiar o si esconde algo. Y si usas Android, tienes a tu disposición una app no oficial pero recomendada por ellos mismos. La app analiza tus aplicaciones instaladas además de archivos y enlaces que pidas analizar.

Si usas iPhone, verás la vista previa del enlace antes de abrirlo. En Android, al haber más peligro con la instalación de aplicaciones falsas y malware, proliferan en Google Play aplicaciones de seguridad para escanear códigos QR de forma segura. Así podrás escanear esos códigos y, desde la misma app, saber si son o no de fiar.

La lista es variada, pero podemos destacar estas aplicaciones: