Los esfuerzos para evitar fraudes con el uso de códigos QR

Ilustración: Vicente Martí.

Con el exponencial auge del uso de códigos QR en el comercio y recientemente en trámites de entidades públicas, los esfuerzos de ciberseguridad para hacer de este un proceso confiable han tenido que aumentar. Los expertos catalogan su uso como poco riesgoso y advierten los cuidados básicos que se pueden tener para la buena ejecución a nivel de usuario.


Las entidades que lo usan en la actualidad coinciden en lo mismo. El auge del uso del QR (código de respuesta rápida) en la vida diaria fue una respuesta a las condiciones entregadas por la pandemia. Una nueva realidad que tuvo que adaptarse a lo online, a lo rápido y a lo digital.

No solo nos enfrentamos a la digitalización del comercio, donde restoranes y locales comerciales comenzaron a utilizarlos para brindar información al cliente, sino que se hizo parte de los trámites importantes del día a día como el Pase de Movilidad y el Certificado de Vacuna, trámites legales que hoy se pueden hacer al alcance de un código.

El 1 de febrero pasado, el subsecretario de Redes Asistenciales, Nicolás Duhalde, anunció que se podía obtener el Pase de Movilidad a través del código QR del carnet de identidad, permitiendo acceder a los datos del esquema de vacunación de manera más sencilla. Los únicos requisitos eran tener el documento al día y verificar la cuenta en la página mevacuno.gob.cl. ¿Qué tan seguro es este método? La duda nace desde el compromiso de información importante personal que podría estar asociado donde se encuentra. Y en otros casos, la inmediatez del proceso también llama a la duda.

La inclusión de un código QR en los distintos documentos emitidos por la App Mevacuno, tiene por finalidad que una tercera persona pueda verificar la veracidad del documento presentado. En Chile, el código se utiliza además para conocer el estado de habilitación del Pase de Movilidad de una persona. El QR tiene la finalidad de validar la veracidad de este tipo de documentos, el que posee una firma electrónica avanzada.

María José Letelier, Jefa del Departamento de Salud Digital del MINSAL, explica que hay diferentes aristas de seguridad que trabajan activamente para el buen uso del código en este trámite. “Para cumplir con las utilidades de la lectura del código QR se han implementado todas las medidas de seguridad posible, como por ejemplo la limitación de llamados recurrentes y la penalización frente a lecturas de códigos falsos, desarrollando la funcionalidad detrás de una capa de seguridad que evita el ataque de bots, entre otras”, comenta.

Además, para el caso del Certificado Internacional de Vacuna, la lectura del código QR permite verificar que el documento que se está mostrando no haya sido adulterado al mostrar la versión digital del documento que está siendo escaneado. Esos primeros resguardos tienen que ver con el mal uso que las mismas personas pudiesen darle a su Pase de Movilidad, su usabilidad en el tiempo y la veracidad de la información.

En un segundo esfuerzo y el que más dudas genera, en el ámbito del cuidado de la información personal al exterior, el Departamento de Salud Digital también ha aumentado sus políticas de privacidad. “En el caso del Pase de Movilidad la respuesta de la lectura del código entrega información mínima al fiscalizador. Si el fiscalizador no está autenticado con Clave Única, se entrega la información parcialmente encriptada de la persona, de forma tal que el fiscalizador solo pueda validar su identidad con una identificación física junto al estado de habilitación del Pase de Movilidad”, agrega la Jefa del Departamento, asegurando que la información que genera el estado de habilitación se encuentra resguardada en distintos sistemas del MINSAL bajo estrictos estándares de seguridad.

En este caso, en el QR no se almacena ningún tipo de información relativa al evento de escaneo ni información personal, sólo verifica su validez contra un servicio del Registro Civil, que a su vez impide falsificaciones.

Fernando Lagos, especialista en Ciberseguridad y director de Nivel4 CyberSecurity refuerza la idea que entregan en el MINSAL. Los esfuerzos más grandes tienen que ver con el mal uso de las personas y no tanto con el método mismo de cómo funciona el código QR. “El simple hecho de tener un código no puede robar datos en sí, no tiene esa sofisticación, no desde el interior al menos. El problema sería el entorno, que alguien robe un código QR sacándole una foto desde la distancia. Ese es el riesgo, por eso hay que mejorar los protocolos de seguridad, como tener códigos con duración de validez”.

En ese sentido, el esfuerzo de seguridad en la actualidad debería escoger el camino de un código dinámico, que funcione como el código QR de WhatsApp, el que genera uno que no dura más de 15 segundos y se actualiza siempre. Así deja sin uso el código antiguo para el mal uso de terceras personas externas que quisieran escanear.

Códigos seguros y de corta duración

Es justamente esa línea de seguridad la que está implementando el Ministerio de Transporte. Ante el alza del código QR, se decidió implementarlo para el pago del transporte público, algo que trabajaron durante tres años para hacer una apertura de medios de pago, siempre pensando en un código dinámico que no fuese “usurpable”.

“Los protocolos de seguridad fueron un tema recurrente ya que su utilización era inminente, debido al estallido social y luego la pandemia, donde el porcentaje de accesos móviles sobrepasó el número de personas en Chile, llegando al 101%. También porque llegamos a ser el país más bancarizado de Latinoamérica debido al IFE, bonos fiscales y el cuarto retiro, haciendo que la gente abriera sus cuentas. El e-commerce se transformó entonces en una realidad necesaria”, explica Carlos Orellana, Gerente de Medios de Pago del MTT.

Ante esa realidad, los usuarios prefirieron ese medio de pago, de hecho actualmente existen más de 100 mil usuarios que pagan con QR. Este es un pago que por seguridad es “inverso”, ya que si bien se está haciendo una transacción con un código QR, este código lo pone el usuario a disposición del validador. “El comercio genera un QR fijo, y el usuario escanea el QR. En transporte lo hicimos al revés. El QR está en el teléfono del cliente y el cliente es quien lo pone al comercio, al validador para que lo lea, ese se transfiere. Es un QR dinámico, lo que le da seguridad”, agrega el Gerente de Medios de Pago.

La seguridad también recae en que este tenga un tiempo de validez corto, como recomiendan los expertos en ciberseguridad, para poder frenar el mal uso de otros usuarios, más que un problema interno de hackeo, algo que ocurre muy poco con el QR.

“El QR dura dos horas para el usuario, pero en términos técnicos, este se está actualizando y cambiando cada 6 segundos, haciéndolo imposible de replicar. Las dos horas son para que sirva sin internet y sea útil para su dueño. No se puede hacer impresión de pantalla tampoco. Así evitamos el fraude”, comenta Carlos Orellana.

De todas formas, asegura que en el área interna también tienen un protocolo de seguridad cifrada e intransferible, donde el QR solo sirve para hacer la transacción de viaje, y que en este no viajan datos personales de ningún tipo, ni siquiera los datos del banco, ya que solo sirve como un canal de comunicación entre el banco y el operador. “El operador tecnológico no pregunta quien eres, solo verifica que sea un medio de pago válido, además tenemos seguridad de QR georeferenciado, tiene varias capas de seguridad”.

Desde el Ministerio de Transporte consideran que, entre los competidores de métodos de pago digitales, el código QR es efectivamente el más seguro de todos. Dentro de las tecnologías es la que más sirve ya que el NFC (comunicación de campo cercano) por ejemplo es restringido porque solo sirve en algunos celulares, y por otro lado el mensaje de texto, otro método posible, es inseguro y no es cifrado. Así que para términos de pago directo sí funciona como el más apropiado.

Foto: Sven Hoppe/AP.

Consejos prácticos para usuarios

La tecnología del QR es una tecnología que nació en los 90. Si bien no tiene nada de nuevo, es su masividad la que ha tenido que actualizar protocolos y conocimientos a nivel de usuario para su buen funcionamiento. En ese sentido, ya que las condiciones para que el mobile ticketing sea implementado se hacen cada vez más presentes, la idea es tener una educación básica con respecto a cómo funcionan y qué prácticas evadir al momento de enfrentarse a uno, ya que a pesar de los esfuerzos de las entidades, es necesario tener cuidado personal.

Esteban Núñez, Ingeniero de CiberSeguridad en ACID LABS explica que al masificarse su uso cada vez más establecimientos lo han incorporado, pero esto no significa que todos tengan estos protocolos de seguridad. Al estar encriptado en el código, la única manera de saber exactamente qué contiene dentro este código es el escaneo, y antes de eso hay que tomar algunos resguardos, ya que aún no existe una normativa en particular que regule su uso en Chile. Los problemas en este caso tienen que ver con qué podría descargarse en el teléfono sin nuestra autorización, más que un robo de datos personales.

“Para evitar problemas se puede combatir con programas de concientización que ayuden a las personas a comprender los peligros a los que se exponen al escanear códigos QR de forma irresponsable. No se recomienda escanear códigos QR en la vía pública o en lugares de extraña procedencia, porque un ciberdelincuente puede fácilmente adherir su código QR en un papel sobre uno real, haciendo una imitación que muchas veces es difícil de identificar”, explica el experto.

Otra buena práctica es comprobar la URL de ingreso, lo que se puede hacer deshabilitando, en el caso de los dispositivos móviles, la apertura automática de los enlaces al escanear este tipo de códigos. Así se podrá ver si la dirección web parece segura o si tiene algo sospechoso. En ese proceso también puede ayudar una aplicación gratuita de antivirus y herramientas de seguridad que existen en los dispositivos, algo que ayude a revisar el código QR, descartando que tengan virus.

Idealmente, si se va a escanear un código QR, ojalá que este lleve a un sitio en línea y no a descargar algo. En ese caso se recomienda tener cartas o menús de restoranes online y no en PDF, para evitar problemas. Además, no compartir códigos QR con información sensible, ni sacarles fotos, para así tener una relación segura con esta tecnología en auge.

La tendencia que viene

Tanto desde el Ministerio de Transporte como del Ministerio de Salud afirman que se han visto beneficiados con las implementaciones de esta tecnología, algo que ha hecho que más gente pueda acercarse a los trámites de forma sencilla y rápida. Por lo mismo, ambos también tienen planes para seguir ocupándolos en el futuro.

“Estamos ad portas de que salga el segundo banco, y se van a ir incorporando cada vez más a este método de pago del transporte público”, comenta Carlos Orellana sobre el QR en la Bip, que hasta ahora estaba funcionando solo con Bancoestado. Esto logrará que la cantidad de personas que operen con este código se masifique y sea accesible a nivel nacional, confiando en que es un método con altos estándares de seguridad.

En el caso de Salud Digital, en el futuro se contempla que este también funcione en el sistema de Registro Nacional de Inmunizaciones (RNI), y que el código QR permita generar un certificado digital para las vacunas, de diferentes campañas, que a una persona le han administrado.

“También podría incluirse el acceso al historial de vacunas que existe en el RNI y que tiene información desde el año 2010″, agrega María José Letelier, aelantando que su finalidad es que el código siempre sea el que permita verificar la validez de toda esa información primordial en el sistema de salud del país.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.

La disrupción digital es aquella transformación radical y profunda de los modelos de negocio de una empresa. Es un proceso muy beneficioso, pero no es sencillo. En esta entrevista, Juan José de la Torre, CEO de Raven y especialista en disrupción, explica los fundamentos de este proceso y cómo abordarlo.