El gran peligro actual en materia de seguridad son los códigos QR y su lectura con el móvil». Lo explica con rotundidad Fabián Torres, director de desarrollo de SICPA, una de las empresas punteras en verificación de identidades. Entrar en las instalaciones de este gigante hispanosuizo no es sencillo, menos aún en su laboratorio de Alcalá de Henares, en Madrid, donde guardan los mayores secretos sobre ciberseguridad y procesos de autentificación de identidades.
«Hablaremos de lo que podamos, aquí hay mucho ‘’top secret’’» matiza Torres. Uno de los aspectos en los que llevan trabajando con máxima dedicación (y discreción) desde que estalló la pandemia es en los controles de los códigos QR cuyo uso ha aumentado exponencialmente y ahora forma parte indiscutible de nuestro día a día. Hay códigos QR en las cartas de los restaurantes, discotecas, aeropuertos, eventos deportivos, cines, teatros… y lo que es más preocupante, en los documentos personales como los certificados de vacunación o las PCR, donde se ha detectado un mercado negro que deja al descubierto la vulnerabilidad de nuestra identidad.
«Capturar con la cámara del móvil un código de este tipo equivale directamente dirigirse a un potencial link fraudulento, por esto motivo es altamente necesario reforzar las capas de seguridad de los mismos ya éstos abren en nuestros teléfonos puertas que pueden poner en peligro los datos y recoger información personal. Hay mucha gente que desconoce este aspecto. La población está mentalizada con el spam del correo, pero no con todo lo que puede conllevar un mal uso de los QR», apunta el experto mientras nos muestra la tipología de QR y la necesidad de establecer cuatro capas seguras de protección.
“Trapicheo” de pasaportes covid
Éste sería uno de los peligros, pero desde que aparecieron los certificados de vacunación covid se han detectado numerosas de irregularidades: «En Francia, por ejemplo, exigen este documento para acceder a todos los lugares de ocio. También en algunos de España. Hay muchas personas que quizá no estén vacunadas y quieran entrar a un bar. Lo que hacen es generar un documento falso en el que aparece un código QR robado a otra persona que sí lo está y listo. En la entrada del local escanean el código y como sale correcto no miran más. De ahí la necesidad de implementar mecanismos para que se detecte cuando un QR ha sido robado tratando de suplantar la identidad de otra persona», analiza Torres.
También se ha detectado falsificaciones en test PCR de personas que han dado positivo y «quieren, por ejemplo, subir a un avión para realizar un viaje. Lo que hacen es descargarse un código QR online y vincularlo a la identidad de otra persona que haya dado negativo en el test. El problema en sí no es sólo de la generación del código, sino de los elementos de detección».
Así, Martín Sarobe, el consejero delegado de SICPA nos muestra la tecnología en la que deberían de estar invirtiendo el Estado para evitar fraudes de este tipo: «Cuesta que las instituciones públicas apuesten por mejorarlo y España es el tercer país que sufre mayor número de ciberataques del mundo. Tampoco existe mucha concienciación social al respecto».
Partiendo de la base, según comentan en SICPA, que las falsificaciones en general, y también podría aplicarse a aspectos específicos como los pasaportes covid, están entre el 10 y el 15%. «Por este motivo, en primer lugar, es fundamental descargar las últimas actualizaciones de software en nuestros dispositivos móviles. En sí, un código QR, a simple vista, no puede identificarse como auténtico o falso, es necesario utilizar instrumentos de lectura correcto y que el código en sí esté protegido», comentan. Por eso, para estos expertos las «cuatro capas» son la solución perfecta: «La primera capa es la del QR al uso, sin protección, la segunda es la activación de un código de activación y las dos siguientes son las que evitan que se hagan copias de dicho QR o incluso fotocopias, que sería lo que, por ejemplo está ocurriendo con los pasaporte covid».
«Con estos mecanismos, si se detecta una falsa identidad a través de un QR salta la alarma. La usurpación de identidad conlleva una sanción. Muchos se lo pensarían dos veces. Los que no segurizados representan el gran peligro, suponen la gran bomba que ha traído la pandemia», sentencia Torres.