Loading theme
·12 min de lectura

La veritat sobre les estafes amb codis QR: Com els generadors "gratuïts" extorsionen els usuaris

Els codis QR dinàmics permeten als proveïdors fer seguiment, editar, desactivar i monetitzar els teus codis després que els hagis imprès. Aquí t'explica com funciona l'esquema i com evitar-lo.

En algun moment entre 2015 i avui, els codis QR van passar de ser una curiositat japonesa a una infraestructura global. S'imprimeixen en taules de restaurants, parets de museus, embalatges de productes i formularis d'impostos. Pràcticament cada telèfon de la Terra pot llegir-los.

I una indústria silenciosa es va construir al voltant d'una única premissa deshonesta: que els codis QR haurien de tenir un intermediari.

Aquest article explica el mecanisme de l'esquema d'extorsió amb codis QR, per què funciona, qui se'n beneficia i com evitar convertir-se en una de les seves milions de víctimes.

El patró

Escrius "generador de codi QR gratuït" al Google. El primer resultat té una interfície alegre. Enganxes un URL, personalitzes colors, veus aparèixer un codi QR bonic. Cliques "descarregar".

Ara passa una de tres coses:

  1. Se't demana crear un compte — "només per descarregar"
  2. Et diuen que la versió gratuïta produeix una versió de baixa resolució o amb marca d'aigua, i que la descàrrega "premium" és darrere d'un paywall
  3. Obtens una descàrrega neta — i res t'avisa que el codi QR que acabes de desar passa pels servidors del generador

El cas 3 és el més insidiós. L'usuari deixa el lloc creient que té un codi QR funcional. L'imprimeix en targetes, menús de restaurants, cartells d'esdeveniments, etiquetes de productes. Milers de còpies van a circulació. I durant setmanes, mesos, de vegades anys, els codis funcionen bé.

Llavors — en silenci, un dia — paren. Perquè l'empresa ha decidit que és hora de monetitzar.

Què viu realment dins d'un codi QR

Un codi QR és un patró de quadrats negres i blancs que codifica dades binàries. Els escàners descodifiquen el patró i passen el resultat al sistema operatiu, que l'interpreta com un URL, una cadena de text, credencials Wi-Fi o altres formats.

Aquesta és la part crucial: el codi QR són les dades mateixes. No hi ha cap servidor implicat. No hi ha cap consulta. Un cop imprès, ningú pot canviar el que hi ha dins.

Un codi QR URL estàtic per a https://example.com/menu conté, literalment, els bytes ASCII d'aquest URL. Quan qualsevol persona l'escaneja, en qualsevol lloc del món, per sempre, serà dirigida a aquest URL. Ningú pot retirar-lo. Ningú pot canviar-lo. Ningú pot rastrejar qui l'escaneja.

Així es van dissenyar els codis QR i per això es van convertir en infraestructura universal.

La desviació

Els codis QR dinàmics trenquen aquest disseny. En lloc de codificar l'URL real, codifiquen un URL de redirecció curt al servidor del proveïdor QR: alguna cosa com https://short.qr-co/abc123.

En escanejar, l'escàner demana short.qr-co/abc123. El servidor del proveïdor busca abc123 a la base de dades, troba la destinació real i emet una redirecció HTTP. L'escàner la segueix i arriba a la pàgina real.

Des del punt de vista de l'usuari, funciona idènticament. Des del punt de vista del proveïdor QR, és una mina d'or:

  • Cada escaneig genera un registre de servidor: marca de temps, IP, user-agent, de vegades geolocalització
  • L'URL de destinació es pot canviar en qualsevol moment, sense reimprimir
  • El codi pot ser desactivat, esborrat o retingut com a ostatge pel proveïdor
  • Les dades d'escaneig es poden revendre
  • El més important: el proveïdor pot cobrar lloguer

Cobrim la mecànica amb més detall a segrest de redirecció de codi QR.

Com funciona el cobrament

El model QR dinàmic permet quatre estratègies d'extracció diferents:

Subscripció

El codi QR funciona mentre pagues una quota mensual. Deixa de pagar, i el teu proveïdor desactiva la redirecció — cada còpia impresa del teu codi QR es converteix en pes mort. Això es comercialitza explícitament com una característica ("fes seguiment d'escanejos! edita el teu codi QR en qualsevol moment!"), però l'efecte de bloqueig és el negoci. Vegeu la trampa de subscripció QR per a un desglossament detallat.

Prova i trampa

Els usuaris gratuïts reben un codi QR dinàmic de "prova". Funciona durant 14 dies, 30 dies, de vegades encara més. Quan caduca, ja està en circulació. Per mantenir-lo viu, l'usuari ara ha de pagar. Silenciosament, una eina gratuïta es converteix en una despesa contínua.

Descàrregues darrere de paywall

Genera el codi gratis. Paga per descarregar en alta resolució. Paga més per eliminar marques d'aigua. Paga més per SVG. Paga més per patrons "premium". Res d'això reflecteix cap cost real — un codi QR és un càlcul de 100 bytes — però cada punt de fricció converteix un percentatge d'usuaris en clients que paguen.

Registre forçat

El codi QR és gratuït i estàtic, però per descarregar has de crear un compte. Ara tenen el teu correu electrònic, i el producte gira cap a correus de venda creuada, criança de clients potencials i serveis adjacents.

Les quatre estratègies es basen en el mateix truc: l'usuari no sap que els codis QR són gairebé gratis de produir. La majoria de la gent suposa que ha d'haver una raó pel pagament. No n'hi ha.

El dany real

Això no és hipotètic. El patró té conseqüències visibles:

  • Restaurants els QR impresos del menú dels quals deixen de funcionar de sobte després d'un canvi de política
  • Organitzadors d'esdeveniments que es queden amb piles de material promocional apuntant a una redirecció morta
  • Petites empreses les targetes de les quals es tornen invàlides enmig de la campanya
  • Organitzacions sense ànim de lucre amb QR de donació que es trenquen quan caduca la seva subscripció
  • Esglésies, museus, escoles — qualsevol sense un equip d'IT dedicat — amb material imprès inútil

En la majoria dels casos, la víctima mai entén què va passar. Suposen que els codis QR sempre van ser fràgils, o que van fer alguna cosa malament. El model de negoci del proveïdor depèn d'aquesta confusió. Si el teu codi ha deixat de funcionar, llegeix per què els codis QR deixen de funcionar.

Per què això segueix funcionant

Uns pocs factors fan que l'extorsió amb codis QR sigui extraordinàriament efectiva:

La paraula "QR" és opaca per a la majoria de la gent. Per a l'usuari mitjà, un codi QR és una capsa en blanc i negre que màgicament obre enllaços. No saben que hi ha una diferència entre codis estàtics i dinàmics — la interfície del generador mai els ho diu. Vam escriure una comparació completa per arreglar-ho.

El dany està retardat. Quan un codi QR dinàmic es trenca, la víctima normalment ha oblidat quin servei el va fer. No poden tornar a descarregar, reimprimir o recuperar fàcilment.

El dany és silenciós. Un codi QR trencat no es bloqueja. Simplement no funciona — sembla com qualsevol altre problema d'escaneig. La majoria d'usuaris culparan el seu telèfon.

Els resultats de cerca afavoreixen els depredadors. Les empreses amb ingressos els gasten en SEO, anuncis i granges de contingut. Les eines honestes de QR estàtic rarament es classifiquen per sobre d'elles. El resultat: les cerques de "generador de codi QR gratuït" condueixen aclaparadorament a productes dynamic-first.

Com identificar un servei QR depredador

Abans d'utilitzar qualsevol generador QR, comprova aquests senyals:

  1. Requereix un compte? Cap generador QR estàtic en necessita un — codificar un URL en un patró és pura matemàtica del costat del client. Qualsevol requeriment de registre és un esquema d'extracció.
  2. Ofereix "seguiment" o "analítica"? Les funcions que compten escanejos demostren que el codi és dinàmic. Un codi QR estàtic no pot fer seguiment de res.
  3. Hi ha un "pla" o "subscripció"? Codificar QR costa efectivament res. Els preus de subscripció només tenen sentit si el servei reté el teu codi com a ostatge.
  4. La pàgina de preus menciona "caducitat", "límits d'escaneig" o "codis QR editables"? Tot això implica codis dinàmics que s'executen als servidors del proveïdor.
  5. L'URL de la vista prèvia es veu com `qrco.de/xyz`? Aquest és un URL de redirecció — estàs creant un codi dinàmic.
  6. El lloc té anuncis pesats o scripts de seguiment? Els serveis gratuïts amb vigilància extreuen valor d'una altra manera.

Vam compilar la llista completa a 5 senyals d'alerta que el teu generador QR és una trampa.

Com són els codis QR estàtics

Un generador de codi QR estàtic demana el teu contingut, el codifica directament al patró QR i et lliura un arxiu. Això és tot. Sense redirecció, sense seguiment, sense compte, sense subscripció, sense caducitat.

Aquest lloc és un d'ells. Tot passa al teu navegador — el nostre servidor mai rep el que codifiques. Pots verificar-ho a la pestanya de xarxa del teu navegador: quan generes un codi QR aquí, cap dada surt del teu dispositiu.

També pots verificar què hi ha dins del codi QR. Escaneja qualsevol QR que generis amb el nostre escàner i confirma que el contingut descodificat és exactament el que has introduït — sense URL embolcall, sense enllaç curt, sense redirecció.

Per què hem construït això

Ens vam cansar de veure com gent ben intencionada — propietaris de petites empreses, voluntaris, artistes, professors — queien en estafes QR. Les eines que deien que els ajudaven estaven recollint silenciosament les seves dades, el seu pressupost d'impressió i els seus futurs pagaments de subscripció.

Per això vam construir el contrari.

Aquest generador és gratuït perquè generar codis QR és gratuït. No cobrem res perquè no hi ha res a cobrar. No recollim dades perquè no hi ha dades a recollir — el teu contingut QR mai surt del teu navegador. No oferim seguiment perquè el seguiment requereix convertir el teu codi QR en la propietat d'algú altre.

Els nostres codis QR són estàtics. T'hi pertanyen. Mai caduquen. No es poden desactivar. Si el nostre lloc es fosqueja demà, cada codi QR que mai hagis generat aquí continuarà funcionant.

Què pots fer

  1. Mai utilitzis un codi QR dinàmic per a material imprès. Si no pots reimprimir barat, estàtic és l'única opció segura.
  2. Si ja has imprès codis dinàmics, tracta'ls com a curt termini. Planeja que es trenquin. Tingues la destinació original a mà perquè puguis regenerar estàticament més tard.
  3. Explica-ho a la gent. La majoria d'usuaris no tècnics no tenen ni idea que aquesta estafa existeix. Una breu explicació d'estàtic vs dinàmic els estalvia anys de quotes de subscripció.
  4. Genera el teu proper codi QR estàticament. Comença amb els nostres generadors de URL, WiFi, vCard, correu electrònic, telèfon o text.

Els codis QR són infraestructura bàsica. Haurien de comportar-se com a infraestructura bàsica — previsibles, permanents, i pertanyents a qui els fa.

Hem construït aquest lloc perquè almenys en algun lloc d'Internet, encara ho facin.

Preparat per a un codi QR estàtic?

Genera'n un al teu navegador — sense compte, sense seguiment, sense subscripció. El que crees t'hi pertany.

Obrir generadorCodi QR URLCodi QR WiFi

Lectura relacionada

Codis QR estàtics vs dinàmics: Què hauria de saber cada usuari

Un codifica el teu contingut; l'altre codifica una redirecció. Aquesta única diferència determina si el teu codi QR encara funcionarà d'aquí a cinc anys.

Segrest de redirecció de codi QR: L'intermediari invisible

Quan el teu codi QR funciona, l'intermediari és invisible. Quan es trenca, ja és massa tard. Entendre el model de redirecció és el primer pas per evitar-lo.

La trampa de subscripció QR: Com els proveïdors retenen els teus enllaços com a ostatges

L'esquer és un codi QR gratuït. L'ham és que només funciona mentre pagues. La trampa es tanca el dia que imprimeixes deu mil còpies.

5 senyals d'alerta que el teu generador QR és una trampa

Cinc senyals que separen les eines QR honestes dels generadors dynamic-first que et cobraran lloguer o desactivaran els teus codis més tard.

Per què el teu codi QR ha deixat de funcionar (i qui té la culpa)

Els codis QR impresos no es trenquen. Els escàners no fallen. Si el teu QR ha deixat de funcionar, algú altre l'ha apagat — i aquest article explica qui.