Preocupaciones de privacidad sobre los códigos QR sin contacto utilizados en los restaurantes

Los comensales podrían estar sirviendo mucho más que su pedido de hamburguesas si usan los códigos QR sin contacto que de repente están disponibles en muchos restaurantes y bares, advierte David Choffnes, quien estudia ciberseguridad en Northeastern.

Los códigos pixelados cuadrados, en blanco y negro se han vuelto omnipresentes en muchos restaurantes a raíz del COVID-19, eliminando la necesidad de menús impresos convencionales y, a veces, los servidores que toman los pedidos. Pero los consumidores que escanean los códigos fáciles de usar pueden, sin saberlo, permitir que el restaurante u otras empresas recopilen información personal. Esos datos ofrecen información sobre las compras y ubicaciones de los clientes, que se pueden utilizar para venderles otros bienes y servicios en el futuro.

«Es como una caja misteriosa», dice Choffnes, profesor asociado de informática, sobre el código aparentemente inofensivo de «respuesta rápida». «Realmente no sabes lo que vas a conseguir. Y en su mayor parte, la gente no ve que suceda».

Choffnes, director ejecutivo del Instituto de Privacidad y Ciberseguridad de Northeastern, explica los códigos QR y analiza cómo los consumidores pueden proteger su información.

¿Qué son los códigos QR y cómo funcionan?

La idea básica es que en lugar de tener que escribir la dirección de un sitio web y luego proporcionar una gran cantidad de información, como en qué mesa se encuentra en un restaurante, el código de barras simplemente codifica toda esa información en un cuadrado. Eso es lo que son esas secciones en blanco y negro, solo una forma de codificar información. Su teléfono, a través de su cámara, puede leerlo fácilmente y traducirlo en un sitio web, una URL o una aplicación en su teléfono. Entonces eso es realmente todo lo que es.

¿Cómo el escaneo de un código QR permite a un restaurante o al creador de software rastrear nuestra información?

Los códigos de barras en sí mismos no almacenan nada, es solo una imagen. Pero tiene un significado específico para nuestros teléfonos, y el seguimiento se realiza una vez que el teléfono interpreta el código QR. Por ejemplo, supongamos que hizo clic en un correo electrónico de marketing, como un anuncio. Probablemente hayas notado que cuando se carga la página, no solo lee GAP.com, tiene la dirección del sitio web y también un montón de basura al final. Esa basura al final es la información de seguimiento que están transmitiendo al sitio web desde su correo electrónico. Con el código de barras QR, una vez que abren un enlace en su teléfono, pueden recopilar cualquier información sobre su teléfono que esté expuesta a su navegador web, o si abre una aplicación, puede recopilar su geolocalización o cualquier otra cosa que tenga la aplicación. permiso de acceso.

¿Qué hace que los códigos QR sean tan preocupantes?

Son convenientes y no parecen dañinos, pero debido a que pueden abrir aplicaciones o sitios web arbitrarios y proporcionarles información, permiten un seguimiento algo arbitrario. No es como si tuviera las 20 páginas de la política de privacidad o algo así al lado del código QR, por lo que no hay transparencia. Eso es siempre una gran preocupación. Están diseñados para que usted simplemente escanee y siga adelante. Están diseñados para proteger a las empresas en lugar de proteger a las personas. Lo que nos falta aquí es exactamente lo que hace el código QR y lo que sucede una vez que activa ese código, por lo que definitivamente es un punto ciego.

¿Cuál es el peor de los casos en términos de cómo se podría usar la información obtenida de un escaneo de código QR?

Un ejemplo son los seguros de cualquier tipo. Si se trata de un seguro médico, es posible que noten que estaba comiendo comida rápida y que estuvo en ese restaurante muchas veces, por lo que deciden aumentar las tarifas de su seguro médico. O su compañía de seguros de automóvil ve que estaba en un bar y estaba bebiendo, y tal vez solo porque bebe una cierta cantidad al año lo colocan en una categoría de mayor riesgo y aumentan sus tarifas, o directamente se niegan a asegurarlo. Cada vez más, vemos que la policía compra acceso a los datos recopilados por otras empresas y luego usa esa evidencia en los tribunales. Básicamente, debido a que estamos en una sociedad en la que nos hemos visto obligados a renunciar a nuestros derechos sobre nuestros datos para poder utilizar los servicios, ahora la policía puede acabar con la Cuarta Enmienda. Para la gran mayoría de las personas, estas preocupaciones probablemente no sean algo que surja, pero siempre hay otros usos potencialmente dañinos.

¿Tiene algunos ejemplos más comunes?

Un restaurante puede usar la información para tratar de venderle otras cosas, como artículos más caros en el menú. Su menú ahora es digital en lugar de un menú fijo, y hay todo tipo de investigaciones sobre cómo diseñar un menú y generar más ventas. Esto es algo importante en la industria de los restaurantes, por lo que pueden adaptar ese menú a cada persona. Mientras tanto, estos restaurantes probablemente no estén ejecutando su propio software. Probablemente estén contratando con alguna otra empresa y esa empresa probablemente recopile datos en nombre de un montón de restaurantes. Y mientras están en eso, pueden seguir adelante y tomar esos datos y probablemente empaquetarlos y revenderlos a otros y ganar aún más dinero.

¿Cómo podemos protegernos cuando se trata de códigos QR?

En términos generales, no usaría un código QR si tuviera otra opción. Entonces, ya sabes, si hubiera un menú normal, probablemente haría eso. A veces no se le da la opción, por lo que para el consumidor promedio no hay mucho más que pueda hacer en ese momento, excepto simplemente tratar de estar al tanto de los permisos que haya otorgado a las aplicaciones o sitios web a los que están accediendo. Creo que esto debe abordarse y debe haber mejores formas de revelar a los consumidores lo que está sucediendo y darles un mejor control. Si no tenemos otra opción, no hay mucho que pueda hacer. Ojalá tuviéramos mejores opciones. A veces es solo un triste trombón que se repite.