Qué es un código QR

El código QR (Quick Response Code) es un código de barras bidimensional de tipo matricial cuadrado. Desarrollado en 1994 por el equipo de Denso (actual Denso Wave) para optimizar la gestión de producción de piezas de automóvil. A diferencia de los códigos de barras convencionales que solo almacenan información horizontalmente, el QR almacena en ambas direcciones, conteniendo miles de caracteres en un área pequeña.

Originalmente para gestión de inventario en fábricas, se popularizó explosivamente cuando Denso Wave liberó la patente. Hoy se usa en pagos, emisión de tickets, compartir URLs, intercambio de tarjetas de visita y certificados de vacunación.

Estructura de datos del código QR

Cuadrados grandes en 3 esquinas. Permiten al escáner detectar instantáneamente posición y orientación del QR. Por eso se puede leer desde cualquier ángulo.

Indica el tamaño del QR. Desde versión 1 (21×21 celdas) hasta versión 40 (177×177). Mayor versión = más datos almacenables.

Usa códigos Reed-Solomon para permitir lectura aunque parte del QR esté sucia o dañada. 4 niveles: L (~7%), M (~15%), Q (~25%), H (~30%). Los QR con logo central aprovechan esta función.

Donde se almacenan los datos reales. Soporta 4 modos de codificación: numérico, alfanumérico, binario y kanji.

Amenaza del QR phishing (Quishing)

Con la popularización de los códigos QR, el QR phishing (Quishing) está en rápido aumento. Los atacantes incrustan URLs maliciosas en códigos QR para redirigir a sitios de phishing o distribución de malware.

El Quishing es más peligroso que el phishing tradicional porque no se puede verificar visualmente el contenido del código QR antes de escanearlo.

QR falsos en estacionamientos o restaurantes: Pegan pegatinas falsas sobre QR de pago legítimos, desviando fondos a la cuenta del atacante.
QR en emails: "Escanee para actualización de seguridad" redirige a sitios que roban credenciales. Los filtros de email tienen dificultad para analizar QR dentro de imágenes.
QR falsos de conexión Wi-Fi: Sustituyen QR en cafés o aeropuertos para conectar a redes maliciosas.

Guía práctica de uso seguro

Verificar la URL tras escanear: Siempre comprobar la URL que muestra el navegador. Si es URL acortada, expandirla antes de acceder. No introducir datos personales en sitios sin HTTPS.
Precaución con QR en lugares públicos: Verificar visualmente que no haya pegatinas superpuestas. En caso de duda, acceder directamente al sitio oficial sin usar el QR.
Usar la cámara nativa del OS: iOS y Android muestran preview de la URL antes de abrirla. Algunas apps de terceros recopilan historial de escaneos.
Activar autenticación de dos factores: Aunque se introduzcan credenciales en un sitio de phishing, la 2FA previene el acceso no autorizado.

Conceptos erróneos comunes

El código QR contiene virus: El QR es solo un medio de almacenamiento de datos; el código en sí no ejecuta virus. Lo peligroso es la URL de destino incrustada. Verificar la URL tras escanear es la medida más efectiva.
Los códigos QR son de solo lectura y no se pueden alterar: Los datos del QR son fijos, pero la sustitución física de pegatinas o el cambio de destino de URLs acortadas permiten alteración efectiva. Los QR en lugares públicos siempre tienen riesgo de manipulación.

Código QR