Un QR no diu qui l'ha fet
El quadrat de píxels no porta cap segell d'origen. A simple vista, un codi legítim i una imitació són idèntics: només es distingeixen en obrir l'enllaç, quan sovint ja és tard.
«Quishing» és la barreja de QR i phishing: un frau on l'enllaç maliciós no arriba com un text clicable, sinó amagat dins d'un codi QR. La víctima l'escaneja confiant en el context —un cartell, un parquímetre, una factura— i acaba en una web que imita la de sempre. Aquí t'expliquem com funciona, què n'han dit les institucions i què pots fer si ets tu qui emet els codis.
● Fonts institucionals: INCIBE i FBI/IC3● Sense sobrepromeses
L'atac no és tècnicament sofisticat. Explota tres coses que un QR té «de sèrie».
El quadrat de píxels no porta cap segell d'origen. A simple vista, un codi legítim i una imitació són idèntics: només es distingeixen en obrir l'enllaç, quan sovint ja és tard.
El QR mou el clic del correu corporatiu —filtrat— cap al mòbil personal, sense les mateixes proteccions. Per a molts filtres, una imatge no és un enllaç a analitzar.
Un adhesiu sobre un parquímetre, un cartell a la paret o una factura amb el logo correcte donen la confiança que l'atacant necessita. La víctima no dubta del codi perquè confia en l'entorn.
Per als materials públics fem servir només fonts institucionals. Les xifres de proveïdors de seguretat les deixem com a context, mai com a afirmació.
L'Institut Nacional de Ciberseguretat ha alertat del frau amb codis QR i n'ha documentat el vector més comú: adhesius falsos enganxats sobre QR legítims de parquímetres, terrasses i carregadors elèctrics, suplantant webs d'ajuntaments i passarel·les de pagament.
El centre de denúncies de delictes a internet de l'FBI (IC3) ha emès avisos oficials sobre estafes amb codis QR, com els paquets no sol·licitats amb un QR a la caixa. El quishing ja apareix fins i tot en operacions atribuïdes a actors estatals.
L'organisme dels estàndards de codis de barres i QR ho diu clar: la confiança d'un codi no ve del quadrat de píxels, sinó del domini de marca que hi ha al darrere. És exactament la peça que el quishing intenta falsejar.
Cap tecnologia «atura el quishing» del tot, i qui t'ho prometi t'està venent fum. Val la pena dir exactament què s'aconsegueix.
Un estafador sempre podrà imprimir el seu propi QR cap al seu propi domini. Res del que facis amb els teus codis li impedeix crear-ne de nous.
El que sí que aconsegueixes: que qualsevol pugui comprovar que un codi l'ha emès la teva marca. Una imitació sense la teva firma es delata en verificar-la.
La recerca és consistent: la majoria d'usuaris no comproven res abans d'escanejar. Per això el valor no és que milions de ciutadans verifiquin, sinó que es pugui verificar: dona resposta a l'incident i protegeix la teva reputació.
És una capa de confiança de marca, no una eina de ciberseguretat que detecti amenaces com un antivirus o un filtre de correu. La promesa exacta és autenticitat d'emissor (aquest codi el va emetre aquesta organització) i integritat de destinació (l'enllaç viu al domini de l'organització i no caducarà cap a mans de tercers).
Que tots els teus QR apuntin al teu domini, no a un escurçador genèric. L'usuari veu qr.latevamarca.com, no un bit.ly qualsevol. És la bona pràctica que recomana GS1.
Cada codi porta una firma criptogràfica que només la teva clau pot generar. La clau privada no surt del teu navegador; la pública es publica perquè qualsevol la pugui comprovar.
Un verificador web obert: s'enganxa una URL o s'enfoca el codi amb la càmera i la comprovació es fa al mateix dispositiu, sense instal·lar res ni obrir compte.
És la contracció de QR i phishing: un frau on l'enllaç maliciós arriba amagat dins d'un codi QR en lloc d'un enllaç de text. La víctima escaneja el codi i acaba en una web falsa que li demana dades o un pagament.
Un codi QR és una imatge, no un enllaç llegible. Molts filtres de correu no n'analitzen la destinació, i l'escaneig sol passar al mòbil personal, fora del perímetre de seguretat de l'empresa.
No del tot, i seria deshonest prometre-ho: un atacant sempre pot imprimir el seu propi QR cap al seu propi domini. El que fa la firma és impedir que l'atac es faci passar per tu: qualsevol pot comprovar que un codi l'ha emès la teva marca i no un imitador.
INCIBE ha documentat el frau amb codis QR a Espanya, sobretot adhesius falsos enganxats sobre QR legítims de parquímetres, terrasses i carregadors. L'FBI, a través del seu centre IC3, ha publicat avisos oficials sobre estafes que utilitzen codis QR.
Aprofundeix en cada peça del problema i de la resposta.
No pots aturar que algú imprimeixi el seu propi QR. Sí que pots donar a tothom una manera de comprovar que els teus són teus. Aquesta és la capa de confiança que Qmarque afegeix a cada codi.