Las vulnerabilidades ocultas de compartir QRs por WhatsApp para el acceso de visitas

La comodidad es el gran motor de la adopción tecnológica, pero a menudo se convierte en el enemigo silencioso de la seguridad. En los últimos años, muchos countries, barrios cerrados y edificios de departamentos implementaron sistemas de invitación mediante códigos QR enviados directamente a través de WhatsApp. A primera vista, parece la solución ideal: el propietario genera un código y el invitado lo escanea en la entrada para ingresar rápidamente.

Sin embargo, detrás de esta aparente practicidad se esconde una de las mayores brechas de seguridad del control de acceso moderno. A continuación, desglosamos los riesgos de este sistema y cómo funciona la verdadera tecnología de seguridad interactiva de Shomer.

Los 3 riesgos críticos del QR estático tradicional

1. El peligro del reenvío sin control

Un código QR común y corriente no es más que una imagen digital estática que contiene texto estructurado. Una vez que el propietario envía la captura de pantalla del QR por WhatsApp a su invitado, pierde por completo la custodia de esa credencial. El invitado puede reenviarlo a un tercero, publicarlo en un grupo de chat o perder el control de su teléfono, dejando el acceso expuesto a cualquier intruso que simplemente escanee la imagen.

2. Persistencia de capturas de pantalla y horarios

Un código QR estático guardado en la galería del teléfono del visitante puede ser utilizado días o semanas después. Si el sistema no cuenta con límites horarios estrictos e inalterables, un intruso con una copia del código podría usarlo a altas horas de la noche, ingresando de forma limpia sin despertar sospechas en la guardia.

3. Exposición de datos personales

Muchas aplicaciones de invitación exigen que el residente y el visitante expongan sus números de teléfono privados, correos electrónicos o datos personales en bases de datos vulnerables, facilitando campañas de suplantación de identidad o phishing telefónico si la plataforma es vulnerada.

La solución de Shomer: Código QR físico y llamadas WebRTC seguras a la App

Para resolver esta vulnerabilidad sin sacrificar la comodidad de los residentes, el equipo de ingeniería de Shomer desarrolló una arquitectura interactiva en su producto Shomer Vision que cambia por completo el flujo de visitas, priorizando la privacidad y el control total:

Sin códigos QR de acceso para visitantes

En Shomer no generamos códigos QR dinámicos ni estáticos para que el visitante los use como llave. En su lugar, el código QR está impreso de forma fija en la carcasa o chasis físico del dispositivo Shomer Vision instalado en la entrada del edificio.

Directorio web interactivo y seguro

Cuando un visitante llega al edificio, simplemente escanea con la cámara de su teléfono móvil el código QR de la carcasa. Esto abre en su navegador web una página segura con el directorio de las unidades (departamentos) del edificio. La persona busca la unidad del residente y pulsa el botón para llamar. El teléfono del visitante actúa únicamente como un timbre digital.

Conexión de video directa mediante WebRTC

Al presionar el timbre virtual, el residente recibe una notificación de llamada en su teléfono mediante la aplicación Shomer App. Cuando el residente responde la llamada en su app, se inicia una conexión segura mediante el protocolo WebRTC que conecta el smartphone del residente directamente con la cámara de video y el micrófono embebidos en el dispositivo físico Shomer Vision montado en la entrada.

De esta forma, el residente puede ver mediante la cámara del portero Shomer Vision quién está llamando e interactuar por audio bidireccional en tiempo real. La privacidad de ambas partes queda totalmente resguardada: el visitante no necesita instalar ninguna aplicación, sus datos personales no son expuestos y el residente no transmite video de sí mismo, solo recibe el feed de video de seguridad de la entrada del edificio antes de presionar el botón de apertura remota.