EscucharTenga cuidado cuando escanee un código QR porque esta es una de las formas que tienen los ciberdelincuentes para hacer spoofing con su cuenta de WhatsApp sin que usted se dé cuenta.
El spoofing es una técnica en la que un atacante falsifica la identidad de un usuario a fin de hacerse pasar por él con fines maliciosos. Los atacantes pueden hacer esto por medio de la clonación de la tarjeta SIM o eSIMs, o el QRLJacking.
Cuidado con los QR
El QRLJacking (Quick Response Code Login Jacking o Secuestro de Inicio de Sesión mediante Código de Respuesta Rápida, en español) es un ataque que afecta a las aplicaciones que tengan que utilizar un código QR para iniciar sesión, como es el caso de WhatsApp Web, la versión del mensajero para computadoras.
En este tipo de estafas, la víctima escanea el código que le envía el cibercriminal, y, sin darse cuenta, entrega el control de su cuenta y habilita al atacante a poder desviar las comunicaciones a su propio servidor, desde el cual podrá enviar mensajes e intervenir conversaciones.
En el caso de WhatsApp, el intruso puede espiar las conversaciones, ver su contenido y remitentes, además de enviar mensajes desde el número de la víctima, suplantando así su identidad.
LEA MÁS: Inteligencia Artificial: ¿qué dice la nueva regulación europea?
“Este tipo de ataques puede pasar desapercibido por la víctima, ya que podrá seguir logueándose y abriendo a su sesión de WhatsApp web o desktop. Esto marca una diferencia respecto a otros casos en los que la cuenta de WhatsApp queda inaccesible para la víctima, como por ejemplo el secuestro de WhatsApp pleno”, comenta Fabiana Ramírez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica, compañía que se especializa en la detección proactiva de ataques cibernéticos.
Estos son los consejos que da ESET para evitar ser víctima de este tipo de ataques:
- Verificar la fuente del código QR: nunca escanear un código QR de WhatsApp desde fuentes no confiables. Si se recibe un QR por mensaje, correo o sitio web sospechoso, es mejor ignorarlo. Los códigos QR de inicio de sesión deben ser escaneados únicamente desde el sitio oficial de WhatsApp Web o la aplicación de WhatsApp.
- Habilitar la verificación en dos pasos: con esta protección incluso si alguien obtiene acceso a la sesión mediante un ataque de QRLJacking, necesitaría un código PIN adicional para iniciar sesión en otros dispositivos.
- Revisar sesiones activas regularmente: en WhatsApp, se puede revisar y cerrar las sesiones activas en otros dispositivos desde la configuración. Si se identifica alguna actividad sospechosa, debe cerrar la sesión de inmediato.
Cuidado con otras estafas
Otra estafa común y que suele estar acompañada del spoofing es el robo del código de verificación.
Cuando los estafadores intentan acceder a su cuenta, necesitan un código de verificación para entrar. Si usted le llega ese código de 6 dígitos sin haberlo solicitado es porque podría ser el objetivo de un ataque.
El fraude comienza cuando la víctima recibe dos mensajes seguidos. Uno de estos podría ser una disculpa de un supuesto amigo o familiar, diciendo que “accidentalmente” enviaron un código de verificación al número de la víctima en lugar del suyo. Luego piden el código de 6 dígitos que la víctima acaba de recibir. Recuerde que puede ser incluso una persona que usted conozca si su identidad fue robada, como el spoofing del que hablamos antes.
La ventaja es que este es un ataque fácil de evitar: simplemente nunca comparta ese código con nadie.
WhatsApp recomienda prestarle atención a las siguientes señales cuando se encuentre un mensaje sospechoso:
- Solicitudes para que abra un enlace, active nuevas funciones a través de un enlace o descargue una aplicación.
- Solicitudes para que comparta información personal, como números de tarjetas de crédito o de cuentas bancarias, fecha de nacimiento o contraseñas.
- Solicitudes para que reenvíe un mensaje.
- Solicitud de dinero o reclamo de que tiene que pagar para usar WhatsApp.
- El estafador finge ser alguien que conoce.
- Mensajes que hacen referencia a la lotería, el juego, un empleo, una inversión o un préstamo.
- La persona inicia un chat con usted para ganarse su confianza antes de pedirle información personal.
En este tipo de casos, la aplicación recomienda bloquear al usuario para que deje de contactarlo y reportarlo a WhatsApp. También menciona cómo una buena práctica modificar los ajustes de privacidad para controlar quién puede ver su información personal y quién puede comunicarse con usted.
