El spoofing es una técnica utilizada por atacantes para falsificar la identidad de un usuario y hacerse pasar por él con fines maliciosos. La compañía ESET alerta sobre el incremento del WhatsApp spoofing, donde ciberdelincuentes toman control de una cuenta para enviar mensajes en nombre de la víctima. Para lograrlo, los atacantes pueden emplear métodos como la clonación de tarjetas SIM o eSIMs, y el QRLJacking, entre otros.
El QRLJacking (Quick Response Code Login Jacking) es un vector de ataque de ingeniería social que puede afectar a todas las aplicaciones que permiten el inicio de sesión mediante un código QR. En este ataque, la víctima escanea un código QR falso enviado por el ciberdelincuente, entregando sin darse cuenta el control de su cuenta y permitiendo al atacante desviar las comunicaciones a su propio servidor. Esto le permite enviar mensajes e intervenir conversaciones.
“Este tipo de ataques puede pasar desapercibido por la víctima, ya que podrá seguir logueándose y abriendo a su sesión de WhatsApp web o desktop. Esto marca una diferencia respecto a otros casos en los que la cuenta de WhatsApp queda inaccesible para la víctima, como por ejemplo el secuestro de WhatsApp pleno”, explica Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
La autenticación de WhatsApp desktop o web mediante QR se realiza a través de un websocket, que establece una sesión de comunicación interactiva entre el navegador del usuario y el servidor de WhatsApp. Cada cierto tiempo, el servidor solicita una actualización del código QR para la autenticación, durante la cual se transmite información cifrada del usuario al servidor.
De acuerdo con ESET, el atacante genera un QR de inicio de sesión falso y lo envía a la víctima utilizando técnicas de ingeniería social, logrando que lo escanee desde su dispositivo. Una vez escaneado, el ciberdelincuente obtiene acceso completo a la cuenta de la víctima, pudiendo espiar conversaciones, ver contenido y remitentes, y enviar mensajes suplantando su identidad.
Cómo no perder tu cuenta por culpa del QRLJacking
Desde el laboratorio de investigación de ESET, se ofrecen varios consejos para evitar ser víctima de estos ataques:
¿Qué hacer si escaneo un código QR malicioso?
A veces uno se da cuenta de los errores al poco tiempo. De haber sido tu caso, te recomendamos seguir estos pasos:
Cómo sospechar de los QR a simple vista
Para identificar un código QR falso, es esencial observar su ubicación, calidad de impresión y el entorno en el que se encuentra. Desconfía de los códigos QR en lugares inusuales o poco relacionados con el servicio, especialmente si parecen haber sido añadidos posteriormente. La baja calidad de impresión, como códigos borrosos, pixelados, dañados o con decoloraciones, también puede indicar una posible alteración. Además, los lugares poco iluminados o con reflejos que dificulten la lectura correcta aumentan el riesgo de errores.
Por último, presta atención al contenido del código QR. Si promete grandes descuentos, premios o información confidencial con poco esfuerzo, o si crea una sensación de urgencia para escanearlo de inmediato debido a una oferta limitada, es probable que sea una táctica engañosa.
Te puede interesar
Contenido GEC