En el curso de esta semana se viralizó, en diferentes redes, un alerta comunitario en torno a la aparición en varios vehículos de diferentes provincias de una no-cosa -concretamente, un papel- que, en color morado, portaba una leyenda que indicaba "Vehículo en Infracción", conteniendo además entre dos hexágonos del mismo color sobre fondo blanco la afirmación "Usted se estacionó mal" y, debajo, un rectángulo que portaba un Código QR y la indicación: "Para ver su multa escanee el Código QR".

Ello motivo varias inquietudes de oyentes de "Epocalypsis" -el programa de radio que semanalmente conducimos y que se emite en FM desde el 88.3 del dial- y la decisión de abordar este tema nuevamente en estas líneas.

Códigos de respuesta rápida o Quick Response Code

El código QR -Quick Response Code- o código de respuesta rápida, es un método de representación y almacenamiento de información en una matriz de puntos bidimensional desarrollado por la empresa nipona Denso Wave -subsidiaria de Toyota-, durante el año 1994 en Japón para identificar las autopartes de los vehículos en la línea de montaje; habiéndose convertido en la propietaria de los derechos de patente en Japón, Europa y Estados Unidos de esta simbología 2D.

Este código 2D, o bidimensional, constituye la evolución natural de los códigos de barra unidimensionales inventados en 1952 y puestos en práctica en 1976 bajo el término código EAN-13 -European Article Number, por su sigla en inglés-, o Número Europeo de Artículo. Actualmente existen cuarenta versiones de los códigos QR y cuatro versiones de los micro QR, habiendo migrado prontamente su empleo hacia la telefonía móvil, más precisamente por los fabricantes de teléfonos celulares inteligentes.

Existen dos tipos de Códigos QR, habida cuenta que pueden ser estáticos y dinámicos. Los primeros son aquéllos que, una vez creados, no pueden ser editados, por ello se denominan estáticos o inmodificables. Existen varias plataformas y aplicaciones on line gratuitas que los generan gratuitamente, sin fecha de caducidad y sin la posibilidad de rastrear los escaneos de este tipo de Códigos. Resultan útiles cuando no es necesario actualizarlo. Generalmente, estos QR contienen incrustada una URL -Uniform Resource Locator o Localizador Uniforme de Recursos- que identifica la ubicación de un recurso -por caso, la página del restaurante del cual queremos conocer la carta donde se encuentra en archivo alojado- en internet y son hallados impresos en papel o plastificados.

Por el contrario, los Código QR dinámicos son editables y ofrecen más funciones que los estáticos. Los QR dinámicos también tienen una URL acortada e incrustada que dirigirá al usuario a la URL del sitio web de destino. La ventaja que ofrece esta variante consiste en que la URL de destino puede ser modificada luego de generada la imagen, aunque la corta incrustada en la imagen permanezca inmodificable. Por otra parte, resulta mucho más fácil escanearlos, puesto que la imagen es menos densa que en los estáticos. Esta variante permite proteger el acceso mediante una contraseña, relevar la cantidad de escaneos o efectuar un seguimiento de los dispositivos que lo escanearon.

Es que este tipo de Códigos QR tienen una función de rastreo que permite saber a quien lo generó, cuándo, dónde, la cantidad de personas que los escanearon y el sistema operativo de los dispositivos utilizados en tiempo real. Por ello, hay que ser muy precavidos cuando nos encontramos ante una imagen de este tipo.

Bionda revela: "Hemos accedido a la falsa infracción, escaneado el QR que contiene y luego de ser previamente analizado en un entorno seguro, pudimos comprobar que el código contenía incrustada una URL que redireccionaba -antes de que fuera desactivada- a un sitio web con una extensión workers.dev que simulaba el inicio de sesión del correo electrónico de Outlook y se apropiaba de las credenciales de acceso -usuario y clave- de la víctima".

Funciones de los códigos QR

Los códigos QR adquirieron múltiples y diversas funciones, no sólo en la industria y el comercio privado, sino también en el sector público, propagándose en el mundo del arte, como la pintura y la música, como así también en el campo del entretenimiento.

Repárese que dicha tecnología se emplea actualmente para acceder a información sin escribir y por medio del URL, a texto, imágenes o coordenadas GPS; para compartir la contraseña de Wi-Fi; como medio electrónico de pago, ya sea pagando escaneando códigos QR digitales o en papel; como pasaje o ticket de vuelo; para iniciar sesión en un sitio web; para añadir nuevo contactos en mensajería instantánea -por caso, WhatsApp, Telegram, WeChat, SnapChat o Signal-; para leer una carta o menú digital; en las obras en construcción para obtener información sobre el proyecto, plan de habilitación de obra y fecha de culminación; para conocer estado de mantenimiento y condiciones de habilitación de ascensores de edificios públicos; para otorgar acceso a cortos o trailers de películas.

También se emplean para permitir la descarga de documentos electrónicos de todo tipo -PDF, Word, Excel, Access, OneNote, Power Point, Prezi-; para el acceso en puestos de información y turísticos a guías y mapas; para brindar información comercial cuando los locales se encuentran cerrados en la atención presencial al público; a fin de dotar de trazabilidad y autenticación a entradas o tickets para espectáculos públicos.

Como se podrá avizorar, resulta difícil imaginar transitar o deambular por nuestro instante eterno sin un smartphone escaneando algún código QR a lo largo del día. Lo cotidiano y rutinario que se ha convertido el escanear códigos QR en estos últimos años es lo que también los ha convertido a ellos en excelentes vectores para la ejecución y la consumación de actos propios de la criminalidad informática.

Códigos QR y delitos

El empleo de códigos QR como mecanismo de vectorización para acceder ilegítimamente a información de un celular inteligente, a sus cuentas bancarias por medio del sistema de homebanking y proceder a realizar pagos, compras o simplemente vaciar sus cuentas, o incluso apropiarse de datos personales -credenciales de acceso a correos electrónicos- para realizar actos en nombre de otro, sustituyendo su identidad se ha convertido en algo usual en estos años.

Ello en gran parte se debe a que la generación y creación de códigos QR resulta más sencilla de lo que habitualmente se cree. Hay muchas herramientas gratuitas para la creación y elaboración de códigos QR, que no compartiremos para no facilitar la generación de maniobras delictivas.

Quienes desean realizar defraudaciones, accesos ilegítimos, daño a los dispositivos electrónicos, o bien implantar un acceso remoto para captar la terminal móvil y emplearlo como dispositivo zombie o bot en un botnet; pueden generar con estas herramientas gratuitas códigos QR apócrifos, adulterados o falsos.

Así comienzan su raid delictivo los cibercriminales, colocando códigos QR estáticos apócrifos, adulterados y falsos en mesas y barras de bares, cervecerías, cafeterías, confiterías, restaurantes, que, al ser escaneados inocentemente, brindan acceso al teléfono permitiendo, a su vez, acceder a las aplicaciones abiertas como Mi argentina, Cuidar, Mi ANSES, como así también a todas las imágenes, fotografías y videos, almacenados en la terminal móvil. Otra variante consiste en colocar códigos QR estáticos apócrifos, adulterados o falsos, en mesas de locales gastronómicos, en carteleras públicas, en semáforos o postes de iluminación, que al ser escaneados por el sujeto pasivo redirigen el teléfono a una página web, falsa y maliciosa que permite al sujeto activo de la maniobra implantar un acceso remoto que le permite acceder y visualizar todo el contenido del dispositivo, incluidas fotografías, imágenes, audios o videos con contenido íntimo o sexual, que puede copiar y subir a la web.

De igual manera puede lograrse el cometido, por medio del empleo de códigos QR dinámicos, colocados en páginas web falsas. Por este motivo, resulta sumamente indispensable y necesario conocer cuáles son las recomendaciones de ciberseguridad a adoptar para evitar ser objeto de alguna de las maniobras descriptas.

El QR de la apócrifa infracción de tránsito

El caso que motiva este aporte, es producto de una amalgama de técnicas de ingeniería social, activando los sesgos de autoridad, miedo y curiosidad de la circunstancial víctima; junto a la utilización de la tecnología para la perpetración de un ciberataque.

En primer lugar, si la ocasional víctima se despoja de esos sesgos y analiza detenidamente el instrumento, podría haber advertido que no hay ningún elemento que indique de qué autoridad emana el acta de infracción, ni fecha o lugar en que fuera labrada el acta de la supuesta infracción ni dirección, teléfono u organismo al cual dirigirse. Por otra parte, si la infracción consistía en estar mal estacionado -como lo indicaba- es imposible imprimir ese instrumento en el lugar. Esto, de por sí, con más la premisa de confianza cero o zero trust que es clave en Ciberseguridad, debería ser suficiente para evitar escanear ese Código QR.

Hemos accedido a la falsa infracción, escaneado el QR que contiene y luego de ser previamente analizado en un entorno seguro, pudimos comprobar que el código contenía incrustada la siguiente URL -Uniform Resource Locator o Localizador Uniforme de Recursos- https://myqrcode.mobi/3c3aa5e1/view, que redireccionaba -antes de que fuera desactivada- a un sitio web con una extensión workers.dev que simulaba el inicio de sesión del correo electrónico de Outlook y se apropiaba de las credenciales de acceso -usuario y clave- de la víctima; circunstancia que podría configurar un acto preparatorio del delito previsto en el artículo 153 del Código Penal: acceso indebido a una comunicación electrónica.

Con este panorama, es clave advertir los peligros que ello apareja, reseñando algunas medidas preventivas y de ciberseguridad para conducirse en estos supuestos.

QR y medidas de ciberseguridad

La ciberseguridad atañe también a cada ciudadano en particular, ya que la implementación de buenas prácticas en el empleo de dispositivos electrónicos y equipos informáticos también constituyen medidas de ciberseguridad personal que contribuyen a neutralizar múltiples tipos de amenazas.

De tal modo, es de suma trascendencia tener en cuenta que, si alguna vez encuentra un código QR en espacios públicos, no lo escanee. Antes, deténgase a pensar por un instante y adopte una posición crítica. Cabe preguntarse: ¿Quién lo colocó allí? ¿resulta razonable el lugar en el cual que se encuentra exhibido?

Es prudente recordar que un cibercriminal puede insertar fácilmente su código QR malicioso en papel sobre otro código QR original y genuino y utilizarlo para acceder ilegítimamente a nuestro smartphone, a nuestras comunicaciones electrónicas, realizar actos tendientes a la defraudación, dañar el dispositivo, o bien captar la terminal móvil a través de un acceso remoto, para integrar un botnet, obtener nuestros documentos oficiales y digitalizados para suplantar nuestra identidad, o bien, difundir sin autorización imágenes o grabaciones íntimas.

La utilización de los códigos QR como vector de perpetración y vehículo de propagación de actividades delictivas es muy frecuente, por lo que resulta indispensable conocer cuáles son las medidas de seguridad informática que se sugieren y recomiendan implementar.

Si es propietario de un negocio que emplea códigos QR, comprobar de forma regular que no hayan sido cambiados ni modificados por terceras personas. El Código QR destinado a realizar pagos debería estar sólo disponible detrás del mostrador de atención o caja del negocio, plastificado y enmarcado, si se trata de un código QR estático en papel; o bien también grabado en una superficie plástica o metálica; comprobar periódicamente que el código QR redirige a la página deseada.

Los usuarios deben deshabilitar la apertura automática de enlaces al escanear un código QR. Debe chequearse que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio. En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgar el código QR estático por redes sociales ya que podrías ser empleado para fraudes; por ejemplo, con una captura de pantalla de un estado de Wathsapp que exhiba una entrada con un QR inserto, el ciberatacante podría ingresar a un recital invalidando el ticket de la víctima.

Por otra parte, no se debe bajo ningún aspecto escanear etiquetas o stickers con códigos QR adheridos o colocados en postes de iluminación, paradas de ómnibus, estaciones de subterráneos, trenes, carteleras en la vía pública o como volantes en la vía pública. Es preferible ingresar por sí a la página anunciada por el folleto. No escanear los códigos QR impresos en papel y pegados en las mesas de bares, confiterías, cervecerías, restaurantes, y demás comercios gastronómicos; ya que podrían haber sido sustituidos por otros códigos QR en papel apócrifos, adulterados o falsificados.

Es de gran utilidad contar en su smartphone con un antivirus para la identificación de amenazas y emplear programas de escaneo de códigos QR que detecten amenazas; como por caso, QR Scanner Kaspersky para versiones Android e iOS; lector de Códigos Qr Norton Snap; Qr Code Reader de Scan; Qr Droid; I-Nigma, Qr Tap media, Bar Code disponibles para sistemas Android e iPhone u otros similares.

Ocaso

Los códigos QR o matriz de puntos bidimensional se han convertido en una herramienta omnipresente en la sociedad digital, reportando múltiples ventajas y aparejando también significativos riesgos y peligros.

Si bien no puede evitarse su utilización en las sociedades 4.0, no debe perderse de vista que pueden ser la puerta de ingreso a un laberinto tecnológico en el que cualquier ciudadano puede quedar cautivo; por lo que implementar las buenas prácticas y recomendaciones para el uso responsable de códigos QR, se torna indispensable y prioritario a los fines de salvaguardar la propia ciberseguridad personal. Cuando menos, si pretendemos construir un ciberespacio más seguro, usando a la tecnología como aliada y no como herramienta de acceso a un distópico presente que nos aleja del futuro anhelado.

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.