Cómo funciona QRLJacking

Cuidado con WhatsApp Web: así pueden robarte la cuenta usando un código QR

Un 'hacker' puede hacerse con tu cuenta de WhatsApp con un sencillo engaño y algo de ingeniería social. Debes saber muy bien qué códigos estás escaneando para evitar mayores problemas

Foto:

WhatsApp cada vez es más importante en nuestro día a día. Su uso se ha generalizado de tal manera que se ha convertido en una herramienta de trabajo y su versión web ha hecho que este peso social se multiplique. El simple hecho de evitar tener que mirar el móvil con cada nuevo mensaje ha salvado decenas de horas de trabajo a muchos usuarios, pero no hay que olvidar que esto también tiene sus peligros. Y es que, aunque no hayas pensado mucho en ello, la herramienta web de WhatsApp puede convertirse en tu peor pesadilla.

Muchos de los últimos problemas encontrados en la 'app' se deben a este apartado. Vulnerabilidades que permitían a 'hackers' entrar en tu cuenta y, por ejemplo, cambiar los mensajes que mandas y manipular incluso tus aufios. Pero hay más. Desde hace años, numerosos ciberdelincuentes están aprovechando un pequeño truco y campañas de 'phishing' (mensajes falsos disfrazados de reales) para conseguir secuestrarte tu cuenta y hacerse con todo lo que tienes allí.

El ataque se ha denominado QRLJacking y, como puedes imaginar, tiene que ver con el uso de un código QR para entrar en tu cuenta de WhatsApp. Como explican los expertos en ciberseguridad de la compañía ESET en su blog corporativo, se trata de un tipo de ataque que puede sufrir cualquier usuario de la plataforma y que se basa en un concepto tan sencillo que puede que seas víctima del mismo y que no te des ni cuenta.

Si eres usuario de WhatsApp Web sabrás de sobra que para poder entrar en tu cuenta en un ordenador primero necesitas autorizar su utilización a través del escaneo de un código QR (sí, ese dibujo de cuadraditos que parecen salir de un lenguaje prehispánico). Debes escanearlo desde una herramienta que tiene la propia 'app' de WhatsApp y que te da acceso instantáneo a tu perfil. Bueno, pues es justo ese paso el que aprovechan estos 'hackers' para secuestrar tu WhatsApp.

Según explican los expertos, los ciberdelincuentes que utilizan este método han sido capaces de copiar y reproducir los códigos QR que utilizan la propia plataforma para la autenticación de sus usuarios y lo reproducen en correos y otro tipo de contenidos que distribuyen en forma campaña de 'phishing'. Una vez que te crees lo que te dice ese correo y acabas escaneando el código desde tu cuenta de WhatsApp ellos se hacen con el control de tu cuenta y 'pum' tienen línea directa con todos los datos que tienes allí. Es más, es muy posible que ni siquiera tú te acabes enterando de que están dentro de tu cuenta si ellos no quieren.

(Foto: ESET)
(Foto: ESET)

Este ejemplo que te ponemos justo encima es bastante simple, pero todo cambia si para colocarte el QR te dan un envoltorio mucho más llamativo. Por ejemplo, pueden venderte que escaneando el QR puedes conseguir un año gratis de alguna plataforma, o que con él entras a un grupo privado de descuentos o que simplemente haciéndolo conseguirás una versión mejorada de WhatsApp Web. Campañas de 'phishing' como estas han funcionado otras veces y en este caso se añade la idea de que los códigos QR se usan para muchísimas cosas (desbloquear patinetes, descargar aplicaciones, tener más información sobre un evento...) sin imaginar en ningún caso el peligro que pueden tener.

El ataque lleva funcionando varios años, pero WhatsApp sigue sin añadir nada que pueda cerrarles el grifo. Desde ESET, por ejemplo, apuestan por añadir un paso de seguridad más que complique el robo de la información y que haga menos lucrativo este tipo de ataques. Mientras esperamos a que WhatsApp haga algo con ello lo mejor es que seamos precavidos y nos aseguremos de lo que hacemos con nuestros dispositivos.

¿Cómo protegerse?

Como decimos, de momento no hay una solución final para evitar ser víctima de estos ataques, pero no hay nada como el ser precavido y pensar bien todo lo que hacemos con nuestras herramientas y con asuntos delicados como es nuestra cuenta de WhatsApp. En este caso concreto podemos seguir una serie de pasos que nos ayudarán a evitar cualquier problema.

El primero es saber que WhatsApp solo usa estos códigos para identificarnos y saber que somos nosotros los que intentamos abrir una cuenta en dicho ordenador. Nada más, ni tampoco permite su uso a otras webs o plataformas. Así que, no caigas en la tentación y evita regalar tu cuenta por unos supuestos premios.

El segundo es para saber si, una vez caído en la trampa, alguien está utilizando tu cuenta. WhatsApp, a través del propio WhatsApp web te dice cuándo y dónde se han abierto sesiones de tu cuenta siempre que abres una nueva sesión. Si alguna de las que aparecen no te cuadran es posible que estés siendo espiado o atacado.

Por último, una buena práctica es cerrar la sesión siempre que terminas de usar WhatsApp Web en un determinado ordenador. Puede fastidiar algo el tener que estar escaneando a diario el QR pero peor es dejar la puerta abierta a cualquiera que quiera espiarte.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
2 comentarios
Por FechaMejor Valorados
Mostrar más comentarios