El 70 % de les estafes digitals per suplantació ja es fan a través dels patrons que trobem en restaurants, caixers i llocs públics.

Malgrat que els codis QR van sorgir fa més de dues dècades, no s’han començat a utilitzar de manera massiva fins a l’arribada de la pandèmia de la covid-19, durant la qual es va fer vital reduir qualsevol forma de contacte. De la mateixa manera que es van imposar els pagaments mòbils en comptes de l’ús d’efectiu, les tradicionals cartes de bars i restaurants van donar pas a etiquetes adhesives a les taules. Aquestes etiquetes contenien un patró de punts que, en ser detectat per la càmera de qualsevol telèfon intel·ligent, desplegava un document o un lloc web.

D’un dia per l’altre, fins i tot la gent gran va aprendre a consultar el menú del dia en el telèfon mòbil, cosa que a llarg termini ha suposat un impacte positiu per al medi ambient: a molts negocis ja no els cal imprimir cada dia, només han d’actualitzar la informació digital que correspongui.

Aquests codis QR no van trigar a arribar també als diferents formats publicitaris, caixers, parquímetres i fins i tot als faldons dels programes de televisió (com quan l’informatiu de torn ens anima a ampliar la notícia escanejant la imatge sobreimpresa a la pantalla). Podem afirmar llavors que avui dia existeix un QR per a tot, motiu pel qual els ciberdelinqüents han trobat un nou àmbit d’actuació.

Del phishing al quishing

A aquest nou tipus d’estafa articulada a través de codis QR se la coneix amb el nom de QRshing o quishing, que és la fusió de la sigla «QR» (en anglès, quick response, és a dir, resposta ràpida) amb el terme «phishing». Aquest últim fa referència a la suplantació d’entitats bancàries, institucions, empreses de paqueteria i altres per enganyar la víctima i convèncer-la que aporti les seves dades personals o la seva targeta de crèdit. L’excusa sol ser un càrrec pendent (per descoberts, taxes de duanes…), i el mitjà és una pàgina web creada a imatge i semblança de l’original de la companyia o de l’òrgan en qüestió. Aquestes còpies són tan exactes que molta gent cau en el parany. La conseqüència és que li sostrauen diners del seu compte bancari sense que ho sàpiga. Quan els afectats se n’adonen, l’única opció és denunciar un estafador que no sol deixar rastre.

El quishing consisteix, per tant, a fer servir codis QR per enllaçar-hi llocs web fraudulents. Per què? Els delinqüents saben que l’enviament d’enllaços a través de missatges de text i correus electrònics està deixant de ser efectiu: la majoria de gent ha interioritzat que no ha de fer clic a aquests enllaços; que el nostre banc no ens demanarà mai que ho fem, i que, en tot cas, ens hem de posar en contacte amb la nostra oficina per sortir de dubtes. Ara bé, si s’associen aquests enllaços a un codi QR i aquest es col·loca físicament al caixer d’una sucursal, pot ser que algú acabi escanejant-lo.

Així mateix, els ciberdelinqüents superposen etiquetes QR a les vertaderes de restaurants (a les mateixes taules), gasolineres (als sortidors) o als parquímetres. Per exemple, suposem que paguem al parquímetre i veiem un codi QR al terminal del carrer. Aquest ens dirigeix a un web aparentment municipal, per la qual cosa no sospitem, introduïm les dades de la nostra targeta de crèdit i paguem. El resultat, a més de perdre els diners, serà una sanció quan el revisor corresponent comprovi que hem aparcat sense complir amb les nostres obligacions. Però és que també s’han trobat codis QR enganxats a multes falses col·locades al parabrisa del cotxe (una altra manera d’enganyar-nos en la qual alguns cauen).

Llavors hi ha aquells codis QR que es col·loquen de manera aleatòria per la ciutat (en fanals, portals, marquesines…) i que escanegem per mera curiositat: «Què deu tenir?» La resposta sol ser un programa informàtic maliciós o malware dissenyat per sostreure informació del nostre mòbil en segon pla, sense que ens n’adonem. Cal desconfiar si, després d’apuntar cap a un d’aquests codis amb la càmera del telèfon intel·ligent, se’ns demana que instal·lem una aplicació o descarreguem un arxiu.

Com podem evitar l’estafa

Per tot això, no és estrany que més del 70 % de les estafes de phishing actualment es duguin a terme mitjançant codis QR, segons estimacions de l’empresa de ciberseguretat ProofPoint. Tampoc que la Policia Nacional hagi dedicat diverses alertes al quishing, a través dels seus perfils a les diferents xarxes socials.

Ara bé, quines precaucions hem de tenir per no ficar-nos en embolics quan fem servir aquest tipus d’imatges? En primer lloc, cal que desmarquem l’opció d’obrir automàticament qualsevol enllaç provinent d’un codi QR en el moment d’escanejar-lo. Aquesta opció està activada per defecte en alguns mòbils, per la qual cosa convé dedicar uns minuts a revisar el menú de configuració.

Quan es fa un escaneig, el normal és que es previsualitzi l’adreça web associada a la pantalla del telèfon. Abans de fer-hi clic, cal comprovar que comença per «https» en lloc d’«http», que vol dir que és un URL segura. En tot cas, un cop dins, hem de desconfiar sense excepció si ens trobem qualsevol mena de formulari que requereixi que introduïm dades bancàries o personals. Es correspon el logotip d’aquest web amb l’original de l’empresa que ens interessa o sembla que s’hagi retocat d’alguna manera? El text conté errors ortogràfics o gramaticals? En cas afirmatiu, podria tractar-se d’una suplantació.

Com hem assenyalat anteriorment, descarregar una app enllaçada a través d’un codi QR sempre ha de ser la darrera opció. És millor buscar-la manualment a les botigues d’aplicacions oficials (Google Play, App Store) o al seu lloc web oficial. A més a més, hem d’obviar les etiquetes adhesives que semblin que estan col·locades a sobre d’altres; ens hem d’instal·lar un antivirus en el nostre dispositiu (perquè ens avisi d’infeccions o adreces sospitoses), i hem de tenir el sistema operatiu actualitzat amb la darrera versió per disposar dels últims pedaços de seguretat.

L’origen dels QR: un joc de taula

L’origen dels codis QR es remunta al 1994 al Japó, quan l’empresa Denso Wave (subsidiària de Toyota) va idear un sistema per millorar el control del seu inventari: un patró de punts alineats verticalment i horitzontalment que permetia emmagatzemar dues-centes vegades més informació que els codis de barres estàndard.

En la creació d’aquest patró hi va tenir molt a veure l’afició de l’enginyer en cap de Denso Wave, Masahiro Hara, pel Go, un joc de taula mil·lenari. Mentre feia una partida en la seva estona de dinar, Hara es va adonar que les fitxes blanques i negres del tauler es combinaven de forma capriciosa: «De sobte, observant la disposició de les peces sobre aquell fons binari, en dos colors, em vaig adonar que era una manera molt fàcil de transmetre informació. Va ser una revelació», va explicar a XL Semanal.

Fins a dia d’avui, Hara no ha guanyat ni un sol euro amb el seu invent.