Una técnica de hackeo posibilita que cibercriminales secuestren cuentas de Whatsapp a través de un “engaño” en la plataforma de mensajería diseñada para computadoras.
Especialistas en seguridad informática advierten sobre el “QRLJacking”, un tipo de ataque que permite a un hacker apropiarse de la cuenta de Whastapp de su víctima y ver toda su información a través de un ” engaño” al iniciar sesión en la plataforma web de la aplicación de mensajería instantánea.
El uso de Whatsapp Web es cada vez más popular, lo que lo convirtió en foco de técnicas de ingeniería social ( engaños) para atacar a quienes utilizan código QR para iniciar sesión y robar su información.
La versión escritorio de Whatsapp.
¿Cómo funciona? Con un “QRL Jacking”, los hackers logran que la víctima escanee un código generado por ellos para vulnerar su cuenta de Whatsapp. Una opción para realizar esto es el envío de un link al usuario que deriva en una página donde ofrece “promociones o descuentos” si inicia sesión al sistema. Otra técnica es derivar a la víctima a un sitio web que emule ser la página de inicio de Whatsapp Web.
Una vez que el código QR esté escaneado en la página falsa, el hacker logrará iniciar sesión en la plataforma web y secuestrar la cuenta de la víctima. El registro de chats queda almacenado en la computadora del criminal y éste puede utilizarla como desee, incluso sin causar ninguna interrupción en el uso de la aplicación en el teléfono de la víctima, por lo que puede pasar desapercibido durante largos períodos de tiempo.
Una página que simula la apariencia de Whatsapp Web.
¿Qué hacer si caes en el engaño? La señal que permite identificar un ataque es que el usuario no recibe la respuesta esperada al escanear el código, como el inicio de sesión en la plataforma de Whatsapp Web.
En caso de ser así, habrá que desconectar el celular al ponerlo en modo avión o apagarlo por un rato, lo que provocará que la sesión en la computadora del atacante quede cerrada.
Los especialistas recomiendan prestar suma atención al escanear un código QR o sospechar en caso de recibir un link con una invitación a hacerlo a cambio de beneficios.
Para ello, siempre es mejor ingresar con la dirección en el navegador y evitar el uso de redes públicas que, aunque sean privadas, no son del todo seguras.