Pago a través de código QR, derechos del consumidor y qué hacer después de instalar una extensión maliciosa: toc toc, aquí está el 112º consultorio de Maldita Tecnología

1 month ago 37

¡Buenos días, malditas y malditos! Una semana más, venimos a resolver las últimas dudas tecnológicas que nos habéis mandado. Si algo se suele hacer en verano es salir a comer fuera, y algunos os estáis encontrando con una nueva modalidad de pago: a través del código QR. Os explicamos cómo funciona y también qué derechos tenéis a la hora de pagar en un restaurante. También te ayudamos a saber qué puedes hacer si has tenido la mala suerte (¡ojalá que no!) de instalar en tu ordenador un plugin malicioso.

Esperamos aclarar vuestras inquietudes, pero ya sabéis que la semana que viene tendremos una nueva cita digital, así que podéis mandarnos todas las preguntas que queráis a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319), en este formulario o mandando un mensaje al correo tecnologia@maldita.es. ¡Empezamos!

¿Cómo funciona el pago con QR que están implementando varios restaurantes para reemplazar al datáfono? ¿Pueden obligarte a pagar así y no con tarjeta o efectivo?

Primero fue el trueque, luego los metales preciosos, después las primeras monedas acuñadas, las tarjetas de crédito… hasta esa transferencia rápida mágica llamada Bizum (una alternativa válida y no tiene por qué afectar a tu privacidad). El dinero ha evolucionado a lo largo de la historia de la humanidad, y ahora empezamos a encontrar una nueva manera de pagar, en este caso en los restaurantes: el código QR.

Esta tecnología volvió a popularizarse a raíz de la pandemia y ahora estamos bastante acostumbrados a utilizar estos códigos para leer cartas en bares, extraer una clave wifi o como identificador de nuestros billetes de viaje. En Maldita.es ya os hemos explicado cómo funcionan los códigos QR y cómo nos llevan a la información que queremos ver, y también si pueden colarnos un virus o archivos maliciosos en el móvil escaneando un código QR.

Vamos a ver en detalle cómo funciona el que se utiliza para pagar en los restaurantes y qué implicaciones puede tener para nuestros datos personales. En este nuevo modelo de pago, en el mismo QR en el que el lugar de restauración al que hemos acudido nos facilita la lectura de la carta, también tenemos incluida la opción de pagar. Pero para utilizar el sistema es necesario dar nombre, apellido, fecha de nacimiento y correo electrónico, y la tarjeta de crédito (como si hiciéramos un pago online).

“Un QR es una forma efectiva de llevar un móvil a una URL, así que aquí puede haber la seguridad inherente a internet o la misma problemática si la hubiera. Lo que ocurre después de ese QR es que se produce un diálogo entre nuestra plataforma y la ‘caja registradora’. Dentro utilizamos pasarelas de pago robustas que están siendo utilizadas por las principales marcas y se adhieren a altos estándares de seguridad”, explica Carlos Gómez, cofundador y CEO de Cheerfy, una de las primeras empresas que está posibilitando este tipo de pago a un medio centenar de locales en España.

El servicio incluye una red wifi a la que los clientes pueden conectarse (en Maldita.es ya os hemos hablado sobre las ventajas y desventajas de conectarse a una wifi pública), pero para hacerlo hay que aceptar la recepción de publicidad, como explica elDiario.es con el ejemplo de uno de los restaurantes en los que ya se ha implementado.

Entonces, el cliente paga de manera rápida y directa sin tener que llamar al camarero (entras al QR y puedes elegir si quieres pagar la cuenta completa o dividirla entre los comensales), pero, ¿qué gana el establecimiento? “El fin es que las marcas de restauración puedan desarrollar una relación que mejora la experiencia global al aglutinar todas las experiencias y crear un plan de fidelización. Por ejemplo, email marketing para que recibas información personalizada que pueda ser relevante, como regalos por tu cumpleaños o descuentos si hace tiempo que no vienes al local”, detalla Gómez.

En los Términos y Condiciones de la compañía, se especifica que se permite que el cliente “participe en programas de fidelización, reciba obsequios personalizados y, en general, reciba comunicación e información de marketing que se adapte a los intereses individuales del usuario final en la medida de lo posible”.

Claro, pero para todo esto, hacen falta datos: los que hemos dado a la hora de pagar y registrarnos. En la Política de Privacidad se detallan todos los datos que recopila esta aplicación, así como los términos de divulgación de datos personales. Por ejemplo, “la información básica del perfil y la información del dispositivo se compartirá con cada negocio que visites y sus negocios afiliados”.

Puede parecernos interesante recibir publicidad y servicios personalizados, pero ¿es obligatorio que, simplemente por pagar, después estemos suscritos a todas esas comunicaciones? El CEO contesta que es “opcional”: “Hay comunicaciones digitales inherentes al servicio, como recibir el ticket digital, pero si no quieres el resto de servicios, por supuesto te puedes dar de baja y romper el vínculo en este sentido. Todo esto está adherido al Reglamento General de Protección de Datos”. En los Términos y Condiciones de la compañía, se menciona respecto a esto que “permanecerán en vigor hasta que el usuario se dé de baja de los servicios a través de los websites o correo electrónico”.

¿Cómo podemos darnos de baja si hemos usado este servicio y solo queríamos pagar en el restaurante? Hay dos formas: “Señalar que queremos dejar de recibir las comunicaciones, y también podemos pedir que borren nuestros datos”, explica Gómez. En la Política de Privacidad se detalla cómo solicitar este borrado de los datos y se apostilla que, “en caso de que los datos personales sean tratados por terceros, la solicitud de rectificación, borrado o limitación del tratamiento también será reenviada a dichos terceros a menos que esto resulte imposible o implique un esfuerzo desproporcionado”.

En cualquier caso, este es solo un caso concreto y es posible que los servicios de pago mediante QR sigan creciendo. Desde Maldita.es te recomendamos que, antes de acceder a este tipo de servicios, siempre compruebes por ti mismo los términos y condiciones y la política de privacidad de cada aplicación, para poder tomar tu propia decisión.

Y ahora, la pregunta del millón que más nos habéis hecho. ¿Pero puede un restaurante obligarme a pagar a través de un código QR? ¿Puedo exigir el pago con tarjeta? Nos ayuda a resolver estas dudas Raquel Duque, vocal y responsable de comunicación de la Asociación Española de Derecho de Consumo.

“Por debajo de 1.000 euros, los establecimientos están obligados a coger el dinero en efectivo tras la entrada en vigor de la reforma de la Ley General para la Defensa de los Consumidores y Usuarios el pasado 28 de mayo de 2022. Cualquier pago de más de 1.000 euros es obligatorio hacerlo de forma digital”, explica Duque.

Duque explica que si el comercio solo da la opción de pagar con tarjeta (o de otra manera digital), podría exponerse a una sanción de entre 150 y 10.000 euros. Y especifica que este incumplimiento se recoge como una infracción en materia de consumo, es decir, es un derecho como consumidor.

Por otro lado, también es obligatorio ofrecer una alternativa digital al efectivo en pagos superiores a 30 euros, explica Duque. En este caso, “que un restaurante incumpla mi derecho a pagar con alternativas a efectivo es una infracción en materia fiscal”. Esta alternativa puede ser con tarjeta y datáfono, por bizum, por transferencia bancaria… o con los nuevos pagos por QR. “El uso del QR va en la misma línea que los pagos con tarjeta, pero aún no está tan instaurado como para que se recoja específicamente en ninguna normativa”, detalla Duque.

En resumen, como consumidor en España tienes derecho a pagar hasta 999 euros con efectivo y a pagar desde 30 euros con medios alternativos a efectivo (transferencias, tarjeta, apps, código QR…), pero no específicamente con ninguno en concreto. Es decir, no puedes exigir el uso de datáfono para pagar con tarjeta, el restaurante puede ofrecerte cualquier opción alternativa al efectivo, como el pago con QR. En cualquier caso, recuerda siempre seguir las recomendaciones de la Oficina de Seguridad del Internauta para escanear códigos QR de manera fiable y segura.

¿Qué debo hacer si he instalado una extensión maliciosa?

Querida maldita, querido maldito: esperamos que, si estás leyendo esto, sea por amor al conocimiento digital, y no porque has instalado una extensión maliciosa. El que avisa no es traidor, y en Maldita.es ya os hemos contado cómo saber si un plugin es de fiar: os explicamos que lo mejor es usar extensiones de código abierto, instalarlas desde fuentes oficiales y revisar sus permisos.

El maldito Alberto José Amado, técnico en ciberseguridad que nos ha prestado sus superpoderes, nos recuerda que hay otras medidas preventivas como instalar sólo aquellas extensiones que sean estrictamente necesarias; desechar aquellas extensiones que tienen pocas descargas; no utilizar la funcionalidad de guardado de contraseñas de la que disponen los navegadores, sino un gestor de contraseñas externo; establecer un segundo factor de autenticación en aquellos casos especialmente sensibles, como nuestro banco online; y mantener actualizado siempre tanto el software como los drivers del equipo.

Pero todos nos equivocamos, y más cuando el peligro puede estar al alcance de un clic. Por eso, vamos a ver qué tipo de extensiones o plugins nos la pueden colar y qué hacer si esto sucede.

Por un lado, puede haber extensiones que hemos instalado por decisión propia, pensando que eran plugins buenos pero, ¡sorpresa!, lo que creías que estabas instalando en tu navegador algo para hacerte la vida más fácil, en realidad era una extensión que hace otro tipo de tarea oculta, como “minar criptomonedas, robar las contraseñas o redirigirte a páginas comprometidas”, ejemplifica Amado.

Pero también hay extensiones maliciosas que instalamos sin darnos cuenta. “El método de compromiso suele ser siempre el mismo: te mandan un correo haciéndose pasar por otro (empresa de mensajería, hacienda, banco, plataforma de streaming, etc..) para conseguir que hagas clic en un enlace o abras el documento adjunto. A partir de ahí, sin que tú lo quieras, tu equipo está comprometido”, señala Amado. Es decir, no es una extensión disponible en una web para añadir a nuestro navegador, sino que viene en un anexo que nos engañan para pinchar y que se instala sin que seamos conscientes ni veamos notificaciones.

Es el caso de una extensión para navegador maliciosa que se reportó el pasado mes de julio. Se llama SHARPEXT y, una vez instalada, puede acceder al Gmail del usuario sin que este lo sepa. “Se trata de un caso de distribución de malware (un spyware en este caso) en el que es el propio usuario el que instala el software malicioso bajo el gancho de instalar una extensión del navegador que ofrece una funcionalidad deseada”, nos explican desde INCIBE.

Por todo esto, “no se trata de una extensión al uso, como en el caso de otras que se definen para hacer una serie de tareas, sino una extensión concebida para el robo del contenido del correo”, explica Amado. Y aquí está el drama: “Esto conlleva que no se mostrará como una extensión más que tenemos instalada en nuestro navegador, por lo que no podremos desinstalarla”.

En ese caso, puedes usar un antivirus y antimalware, pero seguramente lo mejor sea llamar a un experto lo antes posible. En el caso de una extensión maliciosa al uso que puedes ver instalada, toma nota de los siguientes pasos que pueden ayudarte a reforzar la ciberseguridad.

El primero es un poco de cajón, sí, pero el más importante: “Si tenemos noticias de que una extensión que tenemos instalada en nuestro navegador es maliciosa, lo primero que debemos hacer es desinstalarla”, dice Amado. Date prisa, no dudes ni un instante y dale a desinstalar.

Segundo paso: comprobar el equipo con un antivirus en línea y con un antimalware. Para eso “tienes que tener un buen antivirus, y aún así a veces puede pasar que haya plugins que tardan tiempo en descubrirse y el antivirus no los reconozca”, dice el experto en ciberseguridad Jorge Louzao, maldito que también nos ha prestado sus poderes. Por eso, añade, “yo me pondría en manos de un profesional que verifique que realmente se ha desinstalado, porque además hay plugins que son capaces de volver a instalarse incluso una vez eliminados”. Si quieres intentarlo en casa, en Maldita.es te hemos contado cómo comprobar si nuestro ordenador tiene un malware instalado.

Vamos con el tercer paso: sería idóneo hacer una restauración del navegador a valores de fábrica para eliminar todas las extensiones, cookies, etc. que pudiera tener instalado tu navegador. “Como paso previo a esta acción debo hacer una copia de seguridad de mis marcadores y anotar las extensiones que quiero volver a instalar en el navegador una vez restaurado”, aconseja Amado. Para más inri, después podemos “desinstalar también el navegador y volverlo a instalar”, añade Louzao.

Por último, “también es necesario el cambio de las contraseñas de aquellos servicios más críticos (correo electrónico o cuentas bancarias online) desde otro dispositivo”, concluye Amado.

Ya hemos hecho los pasos básicos para cesar que la extensión maliciosa siga pululando por nuestro ordenador, pero ahora nos queda la preocupación de si, en un caso parecido al de SHARPEXT, en el que podrían haber tenido acceso a nuestro correo electrónico, o en otras situaciones con otro tipo de acciones malignas, habrán accedido y usado nuestros datos.

De manera técnica, “es imposible saberlo”, afirma Louzao. “La única forma en que podemos determinar si han accedido a nuestro correo y han hecho uso de nuestros datos es si observamos algún tipo de actividad sospechosa”, dice Amado. (En Maldita.es os hemos dado claves sobre cómo saber si nos han suscrito a un servicio de pago cuando hemos sido víctimas de un ataque de phishing).

Entonces, ya hemos hablado de las medidas de ciberseguridad, pero los ciberdelincuentes puede que hayan accedido a datos sensibles, ¿deberíamos tomar alguna medida legal? Igual que cuando perdemos o nos roban nuestro DNI, identificador personal u otro tipo de documentación en la vida física, en la digital “en el caso de detectar y comprobar que han accedido a nuestros datos y han hecho uso de ellos, debe ser puesto en conocimiento de la policía o Guardia Civil (en la brigada de delitos telemáticos)”, señala Amado.

Con más razón si eres autónomo o te ha pasado en el ordenador de tu empresa, subraya Louzao: “Si eres una empresa o autónomo y usas aplicaciones web donde gestionas datos de clientes o cualquier otro tipo de dato personal, ahí sí que conviene hacer una denuncia de protección de datos”.

Y para terminar…

No somos técnicos ni ingenieros, pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis utilizar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tienes cualquier duda sobre esta información o cualquier otra relacionada con la manera en que te relacionas con todo lo digital, háznosla llegar:

Cargando…

En este artículo han colaborado con sus superpoderes los malditos Alberto José Amado y Jorge Louzao, expertos en ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Read Entire Article