Secuestro por redirección en QR: el intermediario invisible

En cualquier QR dinámico que hayas escaneado alguna vez participó un tercero que tú nunca elegiste. Entre la cámara del móvil y el sitio de destino, un servidor de redirección del proveedor de QR reenvió la petición silenciosamente. La mayoría de usuarios no lo nota nunca. En eso está la gracia.

Este artículo explica cómo es el secuestro por redirección en la práctica, qué hace realmente el intermediario y qué está en juego.

La secuencia de redirección

Al escanear un QR estático para https://shop.example.com:

1. La cámara lee el QR
2. El SO lo reconoce como URL
3. El navegador abre https://shop.example.com

Tres pasos. Ningún tercero.

Al escanear un QR dinámico para el mismo destino:

1. La cámara lee el QR, que codifica algo como https://qr-provider.com/r/x7n2
2. El SO abre esa URL
3. qr-provider.com recibe una petición, la registra, busca x7n2 en su base de datos
4. qr-provider.com emite una redirección 301 o 302 a https://shop.example.com
5. El navegador sigue la redirección y llega al destino real

Cinco pasos. Un tercero extra en el paso 3 — uno que nunca aceptaste, nunca pagaste y no puedes ver.

Qué obtiene el intermediario

Cada escaneo produce una entrada en el registro del servidor con:

• Fecha/hora del escaneo
• Dirección IP del escáner
• Cadena user-agent (dispositivo, SO, navegador)
• Cabecera Referrer (de dónde vino el escáner, si aplica)
• Cabecera Accept-Language (preferencia de idioma)

De ahí, el proveedor infiere: ubicación geográfica aproximada, tipo de dispositivo, versión del sistema operativo, y en agregado, patrones de escaneo a lo largo del tiempo. A los clientes se lo venden como "analítica". Es, por igual, vigilancia de las personas que escanean tus códigos — que nunca consintieron.

Qué puede hacer el intermediario

Cambiar el destino

El destino de la redirección vive en la base de datos del proveedor. El dueño del QR normalmente puede editarlo por un panel. Se vende como función, y para algunos casos lo es. Pero significa que el QR ya no es lo que parece. El artefacto físico dice "escanea para visitar nuestra web". El comportamiento real es lo que diga hoy la base de datos del proveedor.

Desactivar la redirección

Si la suscripción del dueño caduca, se cierra la cuenta o se violan los términos, la redirección se puede quitar. Cada copia impresa del QR deja de funcionar al instante. Los usuarios escanean y ven una página de error genérica o un 404.

Insertar una página intermedia

Algunos proveedores enrutan escaneos de QR dinámicos por una página intermedia con su marca antes de la redirección final — mostrando anuncios, pidiendo consentimiento, recogiendo correos. El dueño del QR normalmente no firmó eso. Se añade después, conforme el proveedor monetiza más agresivamente.

Vender o perder los datos de escaneo

Los registros de escaneos tienen valor. Se han vendido a brokers de analítica, usado para entrenar modelos de segmentación publicitaria y — en al menos algunos casos documentados — filtrado al comprometerse proveedores. Tus clientes escanearon un menú; ahora su huella de dispositivo vive en un dataset de filtración.

Por qué los usuarios nunca lo notan

Los navegadores modernos siguen las redirecciones automáticamente. Sin las herramientas de desarrollador abiertas, no ves el salto intermedio. El escaneo se siente instantáneo porque una redirección es rápida (cuando funciona). Desde la perspectiva del usuario, un QR dinámico se comporta idéntico a uno estático.

Hasta que el servidor de redirección falla. Entonces la experiencia diverge de golpe — pero para entonces el QR ya está impreso en mil superficies.

Implicaciones de seguridad

Un servidor de redirección es un único punto de fallo para cada QR que dependa de él. Tres superficies de ataque que conviene considerar:

• Toma de cuenta. Si un atacante accede a la cuenta del dueño en el proveedor, puede redirigir cada QR a una página de phishing. Los clientes escanean el código físico esperando el menú del restaurante; aterrizan en un clon que recoge credenciales.
• Compromiso del proveedor. Si se viola al propio proveedor de QR, cada QR dinámico en circulación puede repuntarse a contenido controlado por el atacante. No es teórico — hay avisos de brechas documentados de varios proveedores de QR-as-a-service.
• Fallo de DNS o TLS en el proveedor. Si el dominio de redirección deja de resolver o el certificado TLS caduca, todo QR dependiente falla. Sin actor malicioso — simple riesgo operativo que el dueño del QR no controla.

Los QR estáticos no tienen ninguno de estos modos de fallo, porque no hay un servidor externo entre el escaneo y el destino.

Cómo comprobar si estás escaneando una redirección

Usa un escáner que muestre el contenido decodificado antes de abrirlo — nuestro escáner web lo hace. Escanea el QR e inspecciona la URL decodificada. Si es tu destino real, el QR es estático. Si es algo como qrco.de/xyz o un dominio corto que no reconoces, es una redirección — y hay un tercero en medio.

La alternativa

Genera QR que codifiquen tu destino directamente. Sin servidores de terceros, sin registros de redirección, sin suscripción. Comparación completa en QR estáticos vs dinámicos, y por qué el modelo del intermediario domina la industria en La verdad sobre las estafas con QR.

O simplemente genera un QR estático y deja de preocuparte.