Si nos dices que no usas WhatsApp, te responderemos que eres uno de los pocos que tienes smartphone y no tiene instalado este famoso programa. Cada vez lo usamos más. Y cada vez lo usamos para más cosas. Pero hay una herramienta más útil todavía, que está vinculada también a WhatsApp, pero que resulta especialmente útil para aquellos que usan este servicio de mensajería en su puesto de trabajo.
Lo habrás adivinado. Nos referimos a WhatsApp Web, una función de WhatsApp que sirve para que leamos y respondamos mensajes desde una ventana de nuestro navegador, en lugar de hacerlo desde el teléfono. Esto nos evita perder muchos minutos de nuestro día a día desbloqueando el teléfono y escribiendo a través de su incómodo y reducido teclado.
Pero ojo, que resulta que WhatsApp Web presenta algunos problemas de seguridad graves. En realidad, según los investigadores, bastaría un código QR para que cualquier hacker experimentado acceda a nuestra cuenta de WhatsApp. ¿Cómo? Te lo contamos a continuación.
QRLJacking, un ataque para robar tu cuenta de WhatsApp
Lo han bautizado como QRLJacking, de modo que es fácil adivinar que se trata de un ataque mediante el que bastaría con hacerse con el código QR de un usuario para entrar en su cuenta de WhatsApp y hacerse con todo lo que contenga. La naturaleza de este ataque la ha dado a conocer la compañía de ciberseguridad ESET a través de su blog.
Explican estos expertos que a través de una elaborada técnica de ingeniería social, los hackers aprovechan para atacar aplicaciones que basan su funcionamiento en los códigos QR. Este es el caso de WhatsApp, que invita a los usuarios a usar este sistema para registrarse e iniciar sesión. De este modo, los usuarios también pueden comunicarse con otros a través del ordenador, y no solo desde el teléfono.
Para poner en marcha este sistema hay que acceder a la página principal de la aplicación y, dentro de opciones, seleccionar WhatsApp Web. Ahí aparece una pantalla para escanear un código QR y a continuación, solo que hay que abrir la página de acceso a WhatsApp en el ordenador, escanear el código desde el móvil y empezar a usar el servicio.
Lo que han hecho los cibercriminales para aprovecharse de la buena voluntad de los usuarios es crear códigos QR generados por ellos mismos, con los que pueden efectuar el ataque.
Páginas simuladas con códigos QR fraudulentos
Si usas WhatsApp Web habitualmente, tal vez pienses que este es un sistema de engaño un tanto rudimentario. Pero no. Los hackers no tienen otro trabajo que adaptar y perfeccionar sus estratagemas para que puedan caer personas muy diversas. También aquellas que tienen pocos conocimientos tecnológicos.
Estas páginas con códigos QR falsos pueden colarse en anuncios publicitarios que aparezcan mientras el usuario navega a través de Internet, prometiéndoles premios, acceso a concursos o servicios gratuitos. Si el contexto acompaña, aseguran los responsables de ESET, es muy probable que el usuario caiga en la trampa y termine regalando el acceso a WhatsApp a estos criminales.
Imagen: We Live Security | ESET
Pero, ¿cómo funciona exactamente un ataque QRLJacking?
Para empezar, es importante saber que el código QR no es más que una imagen que, después de haber sido interpretada por un dispositivo, es capaz de generar una serie de códigos. Estos sirven, en el caso de WhatsApp, para que los usuarios puedan verificar el inicio de sesión, sin tener que introducir ninguna contraseña o usuario de acceso. Se trata de un sistema rápido y ágil que ahora, sin embargo, demuestra tener sus debilidades.
Los ataques de QRLJacking funcionan del siguiente modo: estos expertos hackers tienen herramientas para capturar y almacenar las imágenes del código QR generado por WhatsApp. Lo que hacen a continuación es generar un nuevo código QR, con el que captarán a la víctima.
Y ya estará hecho gran parte del trabajo. A partir de ahora, los cibercriminales tendrán almacenado en sus equipos el inicio de sesión del usuario, de modo que podrán usar WhatsApp Web a su antojo. Es muy posible, además, que esta tecnología permita a los criminales usar la cuenta de WhatsApp robada sin generar ningún tipo de molestia o interrupción en el servicio de la víctima. Esto también significa que ni tan siquiera se dará cuenta de que alguien está accediendo a su cuenta para robarle información.
Cómo evitar ser víctimas de un ataque QRLJacking
Está claro que WhatsApp Web tiene algún que otro peligro, pero también es evidente que el servicio es una gran herramienta para gestionar más ágilmente los mensajes que enviamos y recibimos. Con esto queremos decirte que no hace falta que dejes de usar WhatsApp Web solo porque pueden llegar a engañarte. Hay una serie de cosas que podemos hacer y tener en cuenta para evitar ser víctimas de un ataque QRLJacking. Echa un vistazo a los siguientes consejos, proporcionados por el equipo de ESET:
1. Ojo con los anuncios que contienen códigos QR
Es importante que tengas muy claro cómo es la aplicación que usas, en este caso WhatsApp Web. Desconfía de cualquier anuncio que aparezca y en el que se te solicite escanear un código QR a cambio de participar en algún concurso o de ofrecerte un regalo a cambiohack. WhatsApp no suele hacer estas cosas y si las hiciera, te lo harían saber oficialmente.
2. No te conectes a redes públicas que no sean de confianza
Es muy habitual que los cibercriminales usen redes públicas para conectarse a las víctimas. Evita conectarte a redes públicas que no te ofrezcan todas las garantías de seguridad, a no ser que sea completamente necesario.
3. Atento a lo que ocurre después de escanear un código QR
Si ya has caído en la trampa y has escaneado un código QR que no debías a cambio de algún regalo o promoción, debes permanecer atento a lo que ocurre después. Si no recibes nada, lo más probable es que hayas caído en las redes de los cibercriminales. Por eso es tan importante que hagas todo lo posible para no meter de lleno los pies en el fango. En este caso, cierra todas las sesiones de WhatsApp Web que tengas abiertas: se trata de que los cibercriminales pierdan el acceso a tu cuenta al instante.
4. Instala un antivirus que pueda protegerte
No te olvides de tener instalado un buen antivirus en tu ordenador y teléfono móvil. Se trata de que puedan bloquearse el mayor número de amenazas posible. Con este tipo de herramientas, no solo te evitarás problemas con códigos QR, sino también muchos otros (que los hay a puñados).
5. Mantén actualizados todos tus programas y apps
En el ordenador, instala todas las actualizaciones de seguridad que te lleguen (en Windows es una vez al mes) lo antes posible. Lo mismo en tu móvil: asegúrate de que todas las aplicaciones que tienes en el teléfono están al día y usa la última versión existente de tu sistema operativo.
