“Tiene pinta de que, en el futuro, todos estaremos identificados con un código QR”, destaca Javier Guimerá, director técnico de Secuora, en una entrevista en exclusiva para Tourinews. Secuora es una compañía tecnológica de ámbito nacional especializada en proporcionar servicios y soluciones de ciberseguridad para empresas y organismos públicos.
Los códigos QR son una “evolución de los códigos de barras tradicionales”, explica Jaime Guimerá, que “pueden contener cualquier tipo de información”. Y, aunque nacieron hace varias décadas, no ha sido hasta la llegada de la pandemia cuando se ha popularizado y extendido su uso para reducir el contacto con el medio físico. Sin embargo, esta herramienta también nos hace más susceptibles a ser víctimas de estafas. El director cree que la sociedad aún está “muy lejos” de tener una formación en ciberseguridad suficiente para manejar sin riesgo este tipo de herramientas, pero cree que en el futuro serán fundamentales.
Pregunta (P): ¿Qué es Secuora?
Respuesta (R): Secuora es una empresa especializada en servicios de ciberseguridad. Básicamente ayudamos a nuestros clientes a mejorar en este ámbito tan complejo, ofreciendo servicios tanto de seguridad ofensiva, donde simulamos ser ciberdelincuentes y atacantes para detectar los posibles agujeros o fallos en la seguridad; y, luego, con nuestros servicios de seguridad defensiva, para solucionar esos problemas y estar mejor preparados ante estas amenazas.
P: ¿Cómo funciona un código QR?
R: Es una evolución de los códigos de barras tradicionales y, al ser bidimensionales, contienen mucha más información que estos. El QR tiene una codificación –que son los puntitos y cuadraditos que vemos en ellos– que los lectores están preparados para identificar y, una vez identificada, extraen de ella un texto que puede contener cualquier información, incluyendo una página web, una dirección para descargar una aplicación, una contraseña de una red Wifi, enlaces a cualquier otro sitio… Por ejemplo, cuando escaneas el código del menú en un restaurante, lo que te están enviando a través de esta herramienta es la web donde tienen el menú. El texto que se traduce es un enlace como el que pones en tu navegador para acceder a una web. Esta herramienta puede incluir toda la información que quieras.
P: ¿A qué información de nuestro smartphone damos acceso cuando escaneamos un QR con la cámara?
R: Directamente, los QR no roban nada de información. La acción simplemente consiste en que tu teléfono interpreta lo que pone el código, pero en sí no está haciendo nada. Pero lo que pasa es que hay muchos tipos de ataques en lo que se utiliza esta herramienta para que el teléfono lleve a cabo acciones que no son beneficiosas.
P: ¿Cuáles son esos ataques?
R: Por ejemplo, acceder a una página web maliciosa en la que te intenten robar tus credenciales. Imaginemos un escenario: tú entras en un restaurante, escaneas el QR y te pide que introduzcas tu usuario y contraseña de Google o del correo electrónico para poder acceder a la carta. Esa es una página web maliciosa que busca robarte tus datos para luego extorsionarte. Hay otros escenarios en los que también te pueden hacer descargar una aplicación maliciosa que te robe los datos del móvil, como, por ejemplo, tus cuentas bancarias, si tienes la aplicación de tu banco descargada. También se utilizan formularios para rastrear al usuario, obtener información y bombardearlo con publicidad dirigida… Incluso hay otros casos en los que, escaneando un código QR, tu móvil se conecta a una red Wifi inalámbrica donde están espiando todo tu tráfico de datos y pueden robarte esa información.
P: ¿Los ciberdelincuentes pueden suplantar el código QR de un restaurante, por ejemplo, para llevar a cabo estas estafas?
R: Sí, pueden llegar a darse esos casos, pero es cierto que ahí el atacante se expone a tener que ir a un sitio y poner un código falso, que es como ir a un cajero y poner terminales falsos por encima para clonarte la tarjeta. Pero sí que se da y es una situación a la que nos podemos ver enfrentados.
P: ¿Cómo se evitan estas situaciones?
R: Siempre hay que tener muchas precauciones y, sobre todo, sentido común. Si yo estoy accediendo a la carta de un restaurante o a ciertos datos de un sitio turístico, no tiene sentido que me pidan que descargue una aplicación. Tampoco es normal que me pida mi contraseña y usuario del correo electrónico. Entonces, son cosas a las que tenemos que estar atentos y saber que lo normal es que solo tengamos que abrir la página y ya me sale la información, sin introducir ni descargar nada.
"La adopción de la tecnología ha sido tan rápida que no nos ha dado tiempo, como sociedad, a estar preparados"
P: ¿Se puede incluir publicidad en los códigos QR?
R: Sí, al final la publicidad viene incrustada en la página web que sale cuando escaneamos el QR. Si yo los voy tapando con otros que llevan a los usuarios a mi página web, consigo que el usuario vea mi publicidad y, además, puedo saber dónde ha estado porque el código me puede decir en qué restaurante u hotel lo ha leído y puedo tener mucha más información del usuario.
P: ¿Cree que tenemos suficiente cultura digital y formación en ciberseguridad para manejar estas herramientas que implican cierto riesgo?
R: Yo creo que desafortunadamente todavía estamos muy lejos. Hay un cambio, sobre todo generacional, pero la adopción de la tecnología ha sido tan rápida que no nos ha dado tiempo como sociedad a estar preparados. Eso incluso lo vemos entre los profesionales que nos dedicamos a esto, que los delincuentes van tan rápido que siempre van un pasito más allá. A veces nos cuesta hacer nuestro trabajo de manera eficiente. No obstante, hay iniciativas, por ejemplo, desde el Instituto Nacional de Ciberseguridad (INCIBE), que tiene una línea telefónica, el 017, a la que podemos llamar si creemos que hemos sido víctimas de un ciberataque para que nos asesoren. Luego, la Oficina de Seguridad del Internauta también tiene mucha información útil para saber cómo reaccionar y defenderse ante todos los tipos de ciberataque en los que nos podríamos ver envueltos en Internet.
P: ¿Y pagar con el código QR?
R: Es algo bastante novedoso y no está tan extendido. Es un riesgo porque ya estás involucrando acciones económicas, pero se realiza en un entorno súper controlado: tienes que tener la aplicación de tu banco y que el código QR esté relacionado con tu aplicación y con tu usuario. Entonces, no es algo que introduzca más problemas que las actuales soluciones de pagar con las contactless o con el chip de la tarjeta.
P: ¿Se imagina algo revolucionario relacionado con esta herramienta en el futuro?
R: Lo que tiene pinta es que, al final, todos estaremos identificados con un código QR de alguna manera y, a través de él, podremos interactuar con nuestros semejantes y con la sociedad en general.