215 meneos
1602 clics
Los códigos QR y sus riesgos para la privacidad: cuando hasta escanear un simple menú puede facilitar que nos rastreen
A raíz de la pandemia, que los restaurantes ofrezcan el menú a través de un código QR pegado en la mesa no es extraño. Esta tecnología vive una nueva etapa, donde muchos usuarios se han acostumbrado a leer desde el móvil la carta. Pero al tiempo que crece su uso, también vuelven a primera línea sus riesgos. El New York Times informa que estos códigos QR están facilitando a las empresas poder rastrear y analizar el comportamiento de los clientes, pudiendo con algunas aplicaciones recopilar datos personales como el historial de pedidos, el [..]
|
comentarios cerrados
Es como si un policía vende los datos de tu dni a una empresa de marketing y empezamos a crear articulos hablando de los fallos de seguridad del dni. Nada que ver, en mi opinión.
Sencillamente la carta en vez de estar metida en un dominio del restaurante está metida en en el dominio de una empresa de gestión de menús y está lo esta dentro de una empresa de mercadotecnia, a solucionar con una aplicación de QR que en vez de abrir directamente la opción es copiar la dirección al portapapeles y de ahí a un navegador o sesión de navegador restringida.
f-droid.org/en/packages/de.markusfisch.android.binaryeye/
Hoy no duermo.
Es excepcional porque es una ocasión de oro para hacer un trazado mundo físico - digital, conociendo como poco qué ha comprado quien ha visto cada menú:
Interesante enfoque. En el QR pones el núm. de mesa en etiquetado de campañas, al cobrar tienes el número de mesa y lo consumido, y si paga con tarjeta hasta el nombre del cliente, y en el navegador del móvil la cookie de GA (p.ej) que te sigue de un día a otro. Crúzalo todo y...
twitter.com/ogpeinado/status/1419954935916019725?ref_src=twsrc^tfw
#18 Abrir una URL que te identifica como el que está comiendo en un sitio concreto a una hora concreta y que ha pagado con una tarjeta concreta. Poder vincular una identidad digital con una física vale mucho dinero.
#23 A partes variables de una dirección que, aunque te lleven al mismo sitio, informan al servidor de ciertos datos, en el ejemplo que cito arriba, la mesa concreta en la que estás. Se podría hacer incluso con direcciones diferentes que te lleven a la misma página, con lo cual no valdría con sanitizar la url (quitarle esos parámetros) sino que habría que andar escaneando los de otras mesas y usar uno o varios al azar... o todos.
Si el QR de la mesa 1 lleva a mirestaurante.com/menu y el QR de la mesa 2 lleva a mirestaurante.com/carta, sé qué QR has escaneado, aunque ambas webs sean la misma.
La forma más normal de encontrártelos es algo así como mirestaurante.com/carta?mesa=2&asiento=3 (en realidad, mirestaurante.com/carta?aslfd2=398h9dqljaledf9, pero es lo mismo)
Sanear la URL, como dice #10, sería quitarle todo lo que hay detrás del ?
La parte buena es que no cuesta mucho hacer tu propia versión sin identificadores y pegarla encima, si lo haces con maña tardarán en darse cuenta.
Esto es absolutamente falso. Con un QR no se puede saber el número de teléfono o la dirección. Lo sabrán lógicamente si al hacer el pedido metes tu número o la dirección, pero no solo por escanear un QR, que lo único que hace es abrir una URL. No hay diferencias entre escanear el QR o entrar a la página web del restaurante. Sensacionalista.
El caso es que al restaurante los QR por un tercero le juegan en en contra, al restaurante le va dar bastante igual, a otras empresas no, como por ejemplo a la pasarela de venta de comida a domicilio que puede reclamar que sus usuarios llegaron al restaurante por su publicidad reclamado una subida de tarifa o por aumentar la visibilidad.
Aparte que a mayores de lo que es la comida eso da un factor de clientela que es oro para las inmobiliarias.
No lo sabían ni los propietarios del negocio así que estuviera un poco descontrolado.
No puedo hacer promedio ya que no tengo guardado el historial de QR, pero la mayoría con QR iban por servicios de cartas con QR, algunos por la de facebook que ya es un caso aparte, a sumar las filtraciones de datos, y los menos por una web propia o pdf en su dominio. La inmensa mayoría señalaban una pizarra, no usaban QR.
Igualmente si pides a través de Just Eat en mesa, pagarás a Just Eat y si no pagas a Just Eat, volvemos a que tendrían que cotejar las tarjeta de crédito, cosa que estoy seguro de que es 100% ilegal. Esta noticia es súper irrelevante.
No pagas a just eat, pagas al restaurante como si quieres por trueque. El restaurante paga a just eat por mantener el QR más o menos si es asociado www.alacartadigital.es/ este es servicio de ellos. No se hacen los pedidos por ahí, hay otros servicios, pero a muchos restaurantes cuanto menos registro tengan de operaciones mejor.
No tienen que cotejar con tarjeta, hay una cookie de just eat como usuario y just eat usa información como legalmente pueda. No entiendo que estas emperrado con la tarjeta cuando el teléfono o la dirección ya la tiene just eat, lo que no tenía just eat era cuando y a donde ese cliente en mesa de sus socios, por lo menos no lo tenía tan fácil, si hay flujo de información al revés, de just eat al restaurante, ya será cosa del acuerdo.
Luego está esto: waitry.net/es/ que si ya puedes hacer pedidos desde la mesa que ya tiene aún más control del consumo, la carta al final solo es más o menos una imagen que se accede por web.
Además, partimos de que asumes que el cliente estará logeado en Just Eat a través del navegador, algo bastante raro porque casi todo el mundo utiliza la app.
Y ya para terminar, en ningún restaurante medianamente decente van a tener cartas de Just Eat, al igual que no van a tener mesas de Cocacola.
Uno de los permisos de las aplicaciones al usar el ecosistema de android, no se si en IOS es similar, es que las cookies puedan ser accesibles desde la aplicación y viceversa, no es invisible un sistema de otro.
Así a lo tonto sobre 10.000 bares y restaurantes de Madrid por colar esa carta digital como el sistema de digitalización del ayuntamiento conocido como barra digital, ya que a menos que que investigues en enlace te vas a dar cuenta de que es ese servicio.
Respecto a lo otro que dices de la visibilidad y demás, eso ya parte de que el restaurante trabaja con Just Eat. Si no trabaja con ellos, se la pela completamente. Y si trabaja con ellos, ya es cosa del restaurante. Si decide utilizar cartas de terceros en lugar de hacerse una carta digital propia (que le costaría 4 duros), es culpa suya. Y si no se lee los términos del contrato en donde dicen que pueden usar sus datos (porque tendría que estar puesto en el contrato), también.
Sobre si es culpa del bar o restaurante, pues si, pero lo mismo que desconocías todo el entramado con los QR le pasa al del restaurante, y si encima la herramienta fomentada por la administración está envenenada, peor es.
Realmente el que se olió algo para evitar los servicios de carta digitales fue más por evitar hacienda que por las plataformas digitales.