Els restaurants els tenen a les taules, els hotels els ofereixen per mostrar els seus serveis i els museus els utilitzen per donar instruccions a les sales o revelar els secrets de les seves obres. Els codis QR estan de moda, encara més després de la pandèmia, però són segurs? Què poden fer els usuaris per evitar les estafes?

Un codi QR és un tipus de codi de barres escanejable que està dissenyat per ser llegit i interpretat instantàniament per un dispositiu digital. Existeixen des del 1994 i s’hi poden emmagatzemar fins a 4.296 caràcters alfanumèrics. Els que s’utilitzen habitualment solen contenir menys caràcters, la qual cosa permet una fàcil descodificació amb la càmera d’un mòbil intel·ligent.

En la dècada dels 90, un enginyer de l’empresa Dens Wave, subministradora de components per a Toyota, va voler millorar el sistema d’etiquetatge de les caixes de materials que es distribuïen per la fàbrica, expliquen fonts de la Universitat Oberta de Catalunya (UOC). Masahiro Hara va crear un nou sistema que superava els codis de barra que va anomenar quick response (de resposta ràpida). Un dia, jugant al típic joc japonès Go se li va ocórrer com utilitzar aquests punts blancs i negres per codificar la informació en dues dimensions en lloc d’una, com es feia amb els codis de barra.

Encara que aquests quadrats existeixen des del 1994, no es van convertir en un «nom veritablement familiar» fins a l’era covid. Avui dia, descriuen fonts de la companyia de ciberseguretat ESET, es poden veure per tot arreu i s’utilitzen per a tot, des de mostrar menús dels restaurants fins a facilitar les transaccions sense contacte.

Una arma de doble tall

Les cadenes de text que es codifiquen en un QR poden contenir diverses dades i els codis poden usar-se per obrir webs, descarregar un arxiu, afegir un contacte, connectar-se a una Wi-Fi i fins i tot realitzar pagaments. La seva versatilitat pot ser una arma de doble tall. El seu ús generalitzat ha cridat l’atenció dels estafadors, que els poden usar amb finalitats malintencionades.

Igual que els atacants poden utilitzar anuncis maliciosos i altres tècniques per dirigir les víctimes a llocs fraudulents, poden fer el mateix amb els QR. Per exemple, podrien manipular fàcilment el QR per enganyar l’usuari i fer que descarregui un arxiu PDF maliciós o una aplicació mòbil fraudulenta, segons ESET.

Així mateix, els delinqüents podrien modificar un QR d’una transacció financera amb les seves pròpies dades i rebre pagaments al seu compte, i podrien enganxar un codi, generat per dirigir cap a una URL maliciosa, damunt d’un QR bo que estigui en un cartell de concerts.

La clau, sentit comú

Per això, coincideixen els experts consultats per Efe, cal tenir sobretot sentit comú i desconfiar d’allò que no vegem clar.

Jordi Serra, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació a la UOC, recomana configurar els dispositius perquè no obrin directament els enllaços –els últims sistemes operatius ja ho fan–, per poder veure abans quina URL punxaràs. Cal assegurar-se de no introduir dades personals o que no ens estiguem baixant un fitxer, per exemple.

«A simple vista és molt difícil saber si un QR és maliciós o no. Potser la primera recomanació és saber on és», resumeix Fabián Torres, de Sicpa: «Si és a l’interior d’un edifici oficial o en un restaurant podem pressuposar que és probable que no sigui maliciós».

Per contra, «si és al carrer en un lloc on qualsevol pot col·locar-lo (fanal, façana, pal) ja hem de començar a prendre precaucions, especialment si ve acompanyat d’una propaganda tremendament atractiva i inusual com incitant-nos a capturar-ho». A més del lloc, cal prendre totes les precaucions habituals de protecció de dispositius: contrasenyes, últimes versions del sistema operatiu i de les aplicacions, antimalware, antivirus, etc.

«Cada dia veiem codis QR manipulats»; un exemple és el cas de les proves PCR. «I la veritat és que no cal fer una enginyeria ni anar a la internet profunda per manipular o alterar aquests codis; a internet es pot trobar com canviar-los», indica Torres.

No obstant això, hi ha QR «impossibles de manipular o falsificar» que combinen tecnologia innovadora –per exemple, algorismes criptogràfics matemàtics i blockchain. «La nostra solució Certus s’empra amb èxit a tot el món per a certificats covid, títols universitaris o certificació de documents públics i oficials», diu l’expert de Sicpa.