La majoria dels atacs exitosos basats en codis QR no exploten una vulnerabilitat tècnica, sinó una persona que no sabia què vigilar. La suplantació per codi QR (sovint anomenada "quishing") ha augmentat significativament perquè evita els filtres de correu electrònic i sembla més de confiança que un enllaç sospitós. Si dirigeixes una petita empresa o gestions un equip que tracta materials impresos, equips de punt de venda o comunicacions amb proveïdors, una sessió de formació de trenta minuts és una de les inversions en seguretat més econòmiques que pots fer.
Aquí tens un marc pràctic de sis parts que pots desenvolupar amb el teu equip ara mateix.
1. Explica Què Fa Realment un Codi QR
Abans d'ensenyar amenaces, assegura't que tothom entén el mecanisme. Un codi QR és només una instrucció llegible per màquina — normalment una URL, però de vegades una credencial de Wi-Fi, un número de telèfon o una sol·licitud de pagament. Escanejant un codi, l'usuari cedeix el control a qualsevol lloc on apunta el codi, que és exactament el que exploten els atacants.
Dirigeix el personal a un recurs en llenguatge clar com la nostra guia completa sobre com funcionen els codis QR perquè tinguin una base sòlida. Les persones que entenen l'eina són més difícils de decebre amb ella.
2. Ensenya l'Hàbit de "Previsualitzar Abans de Procedir"
Tots els sistemes operatius mòbils principals (iOS 16+, Android 13+) mostren una vista prèvia de l'URL abans d'obrir una pestanya del navegador quan es fa escaneix un codi QR amb l'aplicació de càmera nativa. Forma el teu equip per:
- Aturar-se a la pantalla de vista prèvia — mai no tocar immediatament.
- Llegir el domini sencer, no només el començament de l'URL. Els atacants utilitzen subdominis com
subanc.com.verificar-login.neton el domini real ésverificar-login.net. - Buscar HTTPS, però tractar-lo com un mínim indispensable, no com una garantia. Els llocs de phishing regularment tenen certificats TLS vàlids.
Aquest únic hàbit bloqueja una gran part dels intents de quishing oportunista. La nostra peça separada sobre per què les vistes prèvies d'URL protegeixen els escanejadors té més detalls que val la pena compartir amb el teu equip.
3. Llista de Senyals d'Alerta per a Codis QR Físics
El personal que treballa en comerç, hostaleria o events regularment veu codis QR impresos de tercers — menús, factures, materials de conferència, fulls de lliurament. Dóna'ls una llista concreta de senyals d'alerta:
| Senyal | Per Què Importa |
|---|---|
| Adhesiu col·locat sobre un codi existent | Mètode de manipulació clàssic |
| Codi imprès en paper pla sense marca | Baixa barrera per a una falsificació |
La vista prèvia de l'URL condueix a una adreça IP (p. ex., http://192.168.1.1/…) |
Els llocs legítims no fan això |
| El destí no coincideix amb l'acció promesa | "Escaneja per veure la teva factura" → arribada a una pàgina de login |
| Codi en correu o paquets no sol·licitats | Vector de lliurament d'alt risc |
Per a una visió més profunda sobre la manipulació física específicament, la guia per detectar la manipulació de codis QR és una lectura pràctica complementària.
4. Cobreix Codis QR de Pagament i Credencials Per Separat
Els codis QR de pagament (utilitzats en factures, a les caixes registradores, en parquímetres) són un objectiu d'alt valor. Els codis QR de credencials — el tipus que emplena automàticament una contrasenya Wi-Fi o inicia la sessió en una aplicació — són una segona categoria distinct que el teu equip hauria de tractar diferent d'una escanejada de màrqueting.
Regla clau a comunicar: mai no escanjeges un codi QR de pagament d'una font no verificada sense confirmar el beneficiari per un canal separat. Si un proveïdor t'envia un correu electrònic amb una factura amb un codi QR per al pagament, telefoneja al número conegut del proveïdor abans d'escanjejar. Això no és paranoia — la suplantació de factures per codi QR és ben documentada.
Per als codis Wi-Fi: consulta qui gestiona la teva xarxa abans d'escanjejar un codi "Wi-Fi per a convidats" en qualsevol espai compartit que no controleu.
5. Estableix un Estàndard Intern de Codi QR pels Teus Materials
Un enfocament intern confús o inconsistent fa que el personal sigui més vulnerable. Si la teva empresa utilitza codis QR en rebuts, embalatge o materials de màrqueting, defineix un estàndard i comunica'l:
- Utilitza sempre el teu domini registrat com a destinació (p. ex.,
latevaempresa.com/…), mai un acurtador sense cap branda o redirecciona de tercers. - Diu al teu equip l'aspecte que haurien de tenir els teus codis QR — color, col·locació de logo, el domini al qual es resolen — perquè puguin detectar una imitació.
- Utilitza codis dinàmics sempre que sigui possible perquè puguis auditar els registres d'escanejat i matar una URL compromesa sense reimprimir. Els compromisos entre formats estàtics i dinàmics val la pena entendre abans de decidir — aquesta comparació de codis QR estàtics vs dinàmics els exposa clarament.
Quan el personal sap exactament com haurien de semblar els teus codis legítims, són molt més bons detectant falsificacions.
6. Executa un Simple Exercici de Taula
El coneixement es degrada sense pràctica. Una vegada per trimestre, imprimeix dos o tres codis QR — un que vagi a la teva web real, un que vagi a un marcador posició obvi ("AIXÒ ÉS UNA PROVA"), i un que sembli plausible però que condueixi a algun lloc inesperat. Demana als membres de l'equip que escanjegin cadascun i que expliquin què farien abans de procedir.
Pots construir aquest exercici en menys de deu minuts. L'objectiu no és atrapar persones — és construir l'hàbit de previsualitzar i pausar en la memòria muscular.
Punts Clau a Retenir
- Els atacs amb codis QR triomfen contra persones, no sistemes — la formació és una contramedida directa.
- La pantalla de vista prèvia d'URL és la primera línia més fiable de defensa del teu equip; ensenya a tothom a utilitzar-la.
- La manipulació física (adhesius sobre codis legítims) és el vector d'atac més comú en persona.
- Els codis QR de pagament i credencials porten apostes més altes i mereixen un protocol separat i més estricte.
- Defineix i comunica l'aspecte dels teus propis codis QR legítims perquè el personal pugui identificar impostors.
- Un exercici pràctic trimestral reforça els hàbits millor que una presentació única.
