Cómo se secuestran las cuentas de WhatsApp por medio del código QR

Existen diferentes formas en que los cibercriminales se pueden aprovechar de la falta de precaución o desconocimiento de los usuarios para obtener información privada. Una de estas formas se llama QRL Jacking y consiste en el uso de técnicas de ingeniería social (engaños) para atacar aplicaciones que utilizan código QR para iniciar sesión, tal como ocurre en WhatsApp Web.

Cuando se quiere activar WhatsApp web hay que ingresar a la página correspondiente que tiene un código QR, luego en la app del celular, dentro del menú de configuración (al que se ingresa presionando los tres puntos que están en el margen superior derecho) se elige "WhatsApp web" y se escanea, con el teléfono, el código que está en la pantalla de la desktop.

Cuando se lanza un ataque de QRL Jacking, los hackers logran engañar a la víctima para que escanee un código generado por ellos para vulnerar su cuenta. Expertos de ciberseguridad, en el blog de WeLiveSecurity muestran el ejemplo de una página que fue creada para secuestrar la sesión de la víctima.

¿Cómo lo hacen? Existen diferentes maneras y todo dependerá del ingenio del ciberdelincuente y las técnicas de ingeniería social que emplee. Una opción es que se le envíe al usuario un link que deriva a una página donde dice, por ejemplo, que si inicia sesión al sistema que sea (en este caso WhatsApp web) podría obtener una promoción o descuento. O que incluso lo derive a un sitio que directamente emule (por su estética) ser la página de inicio de WhatsApp web.

Entonces el usuario, abre su aplicación de WhatsApp, va donde dice "iniciar sesión en  WhatsApp" y escanea el código QR que se verá en esa página falsa. Claro que al hacerlo no logrará iniciar sesión en la plataforma web, pero ya una vez que haya hecho esto, el ciberdelincuente habrá logrado ingresar en su sistema.

"La sesión está establecida entre el celular y la máquina del atacante", explica a Infobae, Miguel Ángel Mendoza, especialista en seguridad informática de Eset Latinoamérica.

Y añade: "este inicio de sesión es un código QR para la sesión que tiene el atacante en su servidor y luego lo distribuye a las potenciales víctimas. Entonces, si el usuario escanea este código desde el WhatsApp de su móvil, como es un código generado por el atacante éste logrará tener control sobre la cuenta de la víctima".

"Su estructura interna abre una página estándar solamente como ejemplo, ya que el código fuente de la página está disponible para modificación y acepta códigos HTML, scripts, así como otros recursos llevados al desarrollo web", se detalla en el artículo.

El código QR es una imagen que, al interpretarse, genera un conjunto de códigos que son utilizados por muchas plataformas, como WhatsApp para iniciar sesión, sin que se requiera otra validación adicional.

Así es que algunos cibercriminales se aprovechan de esto y generan herramientas que capturan y almacenan la imagen del código QR generado por el sistema y crean otro para mostrarle al usuario que, si no está atento, puede caer en el engaño.

"Después de eso, la sesión de la víctima queda almacenada en la computadora del criminal y éste puede utilizarla como desee, incluso sea sin causar ningún tipo de interrupción en el uso de la aplicación en el teléfono de la víctima", se detalla en el artículo.

Cómo protegerse

Cuando se produce un ataque de este tipo el usuario no recibe la respuesta esperada al escanear el código, que en este caso sería el inicio de sesión en la plataforma WhatsApp web. Así que si hay un indicio de que se haya podido ser víctima de un engaño, como primera medida hay que desconectar el móvil de la red poniéndolo en modo avión, o simplemente apagándolo un rato. "Si se hace eso, lo más probable es que la sesión en la computadora del atacante se cierre", añade Mendoza.

Fijarse bien antes de escanear un código QR. Sospechar si se recibe un link invitando a escanear un código a cambio de recibir algún beneficio o promoción. La mejor manera de ingresar a la plataforma que se quiere entrar es tipeando la dirección en el navegador y no ingresando a través de un enlace que puede derivar a otro sitio.

Ataques como éste ocurren cuando se comparte la misma red que el cibercriminal, por eso es fundamental evitar usar redes públicas o que, aunque sean privadas, no parezcan seguras.

MÁS SOBRE ESTE TEMA: 

"Soy tu vecino de número": en qué consiste el viral de WhatsApp y por qué podría poner en riesgo tu privacidad

Sextorsión: un  nuevo malware graba la pantalla cuando el usuario mira pornografía