Ya estuvo bien con los QR en los restaurantes

Cuando el covid cerró al mundo, miles de millones de personas conocieron lo que era una pandemia. Cosas que dábamos por sentadas quedaron, de pronto, en duda, y espacios que creíamos seguros —como los restaurantes y las salas de cine— fueron vistos, de repente, bajo otra luz.

En esos días de incertidumbre, el humilde código QR fue ascendido de su posición como rastreador de piezas automotrices a nada menos que pilar de la salud pública. El cuadrado pixelado se convirtió en la solución perfecta para que quienes se aventuraban a regresar a los restaurantes no tuvieran que sostener en sus manos el mismo menú que docenas de comensales y empleados.

Como tantas otras en esos días, fue una medida necesaria, brillante e innovadora, que salvó incontables interacciones y, de paso, ofreció a los restaurantes una promesa tentadora de eficiencia operativa.

Pero ya estuvo bien. El peligro, hoy, es un tipo diferente de contagio y el código QR ya no representa una conveniencia, sino una vulnerabilidad sistémica.

La narrativa de que los códigos QR en los menús de restaurantes son una “medida de seguridad” o una “solución de eficiencia” moderna es una falacia peligrosa que ignora los riesgos reales de nuestro tiempo. Lo que era una defensa contra un virus biológico es, hoy, una puerta de entrada para los ataques de ingeniería social y el robo de datos. En la práctica, lo que hacemos es cambiar el riesgo de una infección leve por el riesgo de una brecha de ciberseguridad.

Esto es porque, en esencia, un QR es un botón de salto a una dirección en la red. Los códigos funcionan redirigiendo al usuario a una URL y por eso el peligro es la confianza automática que depositamos al escanearlos. Asumimos, con todo derecho, que el restaurante ha verificado ese código, que no ha sido alterado y que el destino es su menú legítimo. Pero lo cierto es que no tenemos manera de saberlo.

Esa suposición es la debilidad crítica que los ciberdelincuentes están explotando a través de una técnica conocida como quishing (una combinación de QR y phishing).

Un actor malicioso solo necesita imprimir una calcomanía idéntica al código QR legítimo del restaurante y pegarla encima. El comensal, sin darse cuenta, escanea el código fraudulento que lo lleva a un sitio web malicioso. Es un riesgo que puede extenderse a los QR de otros negocios, pero el de los restaurantes tiene el riesgo añadido de estar, a menudo, abandonado en la mesa, bajo el control total del comensal.

Por todo esto, los operadores de restaurantes, que de seguro no son ajenos a las bondades presupuestales de menús que no se desgastan y que se pueden actualizar con unos cuantos comandos, deben comprender que esta conveniencia expone a sus clientes a consecuencias graves como el robo de credenciales y datos bancarios, las infecciones por malware o spyware y los ataques dirigidos (spear phishing).

No es un exceso de precaución: si todo lo que obtiene un atacante es el correo electrónico y el nombre y la ubicación del restaurante, obtiene información para futuros ataques de phishing altamente personalizados. Un criminal que sabe dónde y cuándo estaba el cliente puede dar a sus correos electrónicos fraudulentos una capa de legitimidad que aumenta drásticamente la tasa de éxito de la estafa.

Por eso vengo a alegar que la pereza operativa de mantener el QR, justificada por el ahorro en papel o la facilidad de actualización, no compensa el riesgo reputacional y legal. Cuando un cliente es defraudado después de interactuar con un elemento supuestamente seguro provisto por un establecimiento, la confianza se rompe irreversiblemente.

Al menos, los clientes deberían tener la opción de usar un menú físico si así lo desean. Es hora de que los propietarios y operadores de restaurantes dejen de ver el menú QR como una solución y lo reconozcan por lo que es: un vector de ataque de baja tecnología y alta recompensa.

Eso explica que, en otros países, su presencia en los restaurantes parezca estarse haciendo más infrecuente. Un informe de The New York Times señala que los escaneos de códigos QR de restaurantes de Estados Unidos han caído un 27 % en un año y que cada vez menos restaurantes están creando nuevos menús con esa inconveniente tecnología. Un estudio de Ipsos halló, en julio, que casi tres de cada cinco personas en ese país regresaría con gusto a los menús de papel.

El código QR fue un héroe, pero hoy, al menos en la situación no controlada de las mesas de los restaurantes, es un pasivo de ciberseguridad. Al igual que en las épocas de la covid-19, el curso de acción no puede ser cruzar los dedos y esperar que todo salga bien. La única solución razonable es volver a la tradición, decididamente low-tech, de poner en las manos de los clientes menús en los que el único riesgo sobre la mesa sea establecer si este helado de verdad, de verdad, no contiene gluten.

Opinión

Ya estuvo bien con los QR en los restaurantes

Obtenga acceso al contenido exclusivo para suscriptores y a toda nuestra información digital por:

Encuentra aquí lo último en Semana

1. Esto pasó en camerinos tras el clásico de Nacional vs. Medellín: así continuó la gresca

2. Maduro protagoniza una parodia en vivo con un extraño teléfono, en plena escalada de tensiones con EE. UU.

3. ¿Busca trabajo en Estados Unidos? La FAA lanza convocatoria para 9 mil vacantes en aeropuertos

4. María José Pizarro celebró entrada de Progresistas al Pacto Histórico y pide el ingreso de la Colombia Humana

5. Las propuestas que le hacen a Verónica Alcocer para que aspire a las elecciones de 2026

Noticias relacionadas