Como si no bastara con la existencia de mensajes maliciosos con alguna promesa tentadora y con la única intención de perjudicar a las víctimas, los cibercriminales también se aprovechan de distintos medios que les permiten, por ejemplo, secuestrar por completo una cuenta de WhatsApp. Es decir, tener acceso a todos los contactos, todos los archivos y todas las conversaciones de la cuenta de la víctima.
Para lograr semejante objetivo, los cibercriminales pueden utilizar un tipo de ataque conocido como QRLjacking, el cual se aprovecha de técnicas de ingeniería social para atacar aplicaciones que utilizan código QR como método para registrarse, como la propia aplicación de WhatsApp, que ofrece a los usuarios la posibilidad de utilizar la app en una computadora.
Quien ya utilizó la app de mensajería en una computadora sabe que el proceso es bien simple: situado frente a la pantalla principal de la aplicación, solo es necesario acceder a las opciones (arriba a la derecha) y seleccionar “WhatsApp Web”, para que una vez marcada la opción aparezca una pantalla para el escaneo de un código QR; sigla en inglés para abreviar el término Quick Response. Luego, solo basta con abrir la página de acceso a WhatsApp en la computadora (https://web.whatsapp.com), escanear el código a través de la aplicación y listo; la app puede ser utilizada en la computadora.
Los cibercriminales se aprovechan de esa función para convencer a las víctimas de escanear el código QR generado por ellos para realizar el ataque. A continuación presentamos un ejemplo de página, creada por la herramienta, que intenta secuestrar la sesión de las víctimas.
A simple vista muchos podrán decir: “pero ese sitio está muy mal hecho, no se parece en nada a la página oficial de WhatsApp Web; nadie escanearía ese código QR”. Tal vez ese pensamiento sea cierto. Sin embargo, la herramienta maliciosa se adaptada a las necesidades de cada atacante; al igual que la mayoría de las herramientas maliciosas.
Su estructura interna abre una página estándar solamente como ejemplo, ya que el código fuente de la página está disponible para modificación y acepta códigos HTML, scripts, así como otros recursos llevados al desarrollo web.
Imagínese que el atacante dedique tiempo para montar algo más convincente, como un anuncio publicitario que ofrece un año de algún servicio completamente gratuito, y que esa propaganda aparecerá cuando la víctima esté navegando por Internet. Probablemente el contexto le aporte una apariencia parece más convincente, ¿no?
Esa solo es una de las posibles formas en la que un atacante conseguiría manipular la página de exhibición para hacer caigan en el engaño.
Cómo funciona el ataque de QRLJacking
El código QR es una imagen que, después de interpretada, genera un conjunto de códigos. En el caso de WhatsApp, la app utiliza ese código para validar el acceso de los usuarios a su sistema, sin ningún tipo de validación adicional.
Sabiendo esto, los cibercriminales han desarrollado herramientas que capturan y almacenan la imagen del código QR generado por WhatsApp y crean un nuevo código QR para mostrar a la víctima, tal como se puede apreciar en las imágenes anteriores.
Después de eso, la sesión de la víctima queda almacenada en la computadora del criminal y éste puede utilizarla como desee, incluso sea sin causar ningún tipo de interrupción en el uso de la aplicación en el teléfono de la víctima.
Sobre la tecnología QR
A pesar de que esta publicación se enfoca en una amenaza que ocurre en WhatsApp, es importante subrayar que diversas aplicaciones utilizan código QR. El hecho de que exista la posibilidad de comprometer a los usuarios de WhatsApp significa que todas las aplicaciones que utilicen códigos QR de esta misma manera pueden sufrir ataques similares.
Es posible incrementar el nivel de control y realizar validaciones adicionales para que el código QR pueda ser utilizado de forma más segura, pero la seguridad de este recurso tan práctico choca en el mismo punto que gran parte de los nuevos recursos tecnológicos: el equilibrio entre usabilidad y seguridad. Muchas veces los fabricantes eligen ofrecer nuevos e increíbles recursos, pero dejan la seguridad total o parcialmente a un lado.
También es necesario una concientización por parte de los fabricantes para que los datos de los usuarios estén cada vez más protegidos y que las aplicaciones cuenten cada vez más con recursos enfocados en la seguridad de los usuarios.
Cómo evitar ser víctima de este engaño
No es necesario dejar de utilizar un recurso por el simple hecho de que se descubra que no cuenta con las características de seguridad suficientes para evitar que las cuentas sean secuestradas. Basta con tener un comportamiento seguro y mantenerse alerta, ya que algunos detalles no pueden ser alterados ni siquiera por el atacante más experimentado. Manténgase atento a las recomendaciones de seguridad que elaboramos pensando en usted:
- Conozca las aplicaciones que utiliza. En el caso de WhatsApp, el recurso para escanear códigos QR sirve única y exclusivamente para permitir que los usuarios utilicen la aplicación en sus computadoras, nada más. Sospeche si algún anuncio publicitario solicita que el usuario escanee un código QR a cambio de algún beneficio o como parte de un proceso de validación, independientemente del sitio o marca que represente el anuncio. En caso de que un servicio, aplicación o empresa utilice un recurso como el código QR como parte de una acción o beneficio, el mismo sería ampliamente divulgado a través de sus canales oficiales.
- Utilice lo mínimo necesario las redes públicas o poco confiables. Éste y otro tipo de ataques ocurren cuando el cibercriminal está en la misma red que sus víctimas. Es por eso que, en caso de utilizar una red pública o que no sea segura, evite acceder a información que no sea extremadamente necesaria para usted en ese momento.
- Esté atento en el momento en que navega por Internet, incluso estando en redes seguras, como puede ser en el hogar o en el trabajo. Lamentablemente, cualquier persona puede terminar siendo un cibercriminal, por lo que no es posible saber qué tan cerca podemos estar de ellos. Mantener la atención, incluso estando en redes consideradas seguras, es una práctica recomendable que ayuda a evitar distintos tipos de incidentes de seguridad.
- Cuando se produce un ataque de este tipo el usuario no suele recibir ningún tipo de devolución. Por lo tanto, en caso de que escanee un código y no reciba ninguna acción como respuesta, probablemente se trate de un ataque. En caso de dudas, en la pantalla principal de WhatsApp seleccione la opción “WhatsApp Web” y cierre todas las sesiones que fueron iniciadas. Esto hará que los criminales pierdan acceso el acceso a la cuenta de WhatsApp de sus víctimas de forma inmediata.
- Mantenga todos los programas de seguridad activados y configurados para bloquear amenazas, tanto en su smartphone como en su computadora.
- Actualice de forma constante todos los programas y aplicaciones que utilice. Las actualizaciones traen nuevos recursos y corrigen eventuales problemas de seguridad que los programas puedan tener.
Quizás te interese: Espiar WhatsApp: los riesgos de usar herramientas que prometen esto