La versión web de WhatsApp es una de las herramientas más útiles para muchos usuarios de la plataforma de mensajería. Con solo escanear un código QR se puede visualizar todos los chats y acceder a los contactos en la pantalla de un computador. Pese a ser esta una opción para facilitar la interacción con la aplicación, la presencia de un código QR se presta también para que los cibercriminales realicen tácticas de engaño.
Ingresar a la página oficial del servicio de mensajería es completamente seguro y su código QR solo le permite registrarse para abrir la versión web. Sin embargo, los atacantes están aprovechando este tipo de opciones que ofrecen muchos servicios para crear un tipo de ataque conocido como QRLJacking que permite, por medio de ingeniería social, robar datos de aplicaciones que utilizan código QR como método para registrarse.
De acuerdo con un reporte de la compañía de seguridad informática Eset, los cibercriminales pueden crear un sitio falso con un código QR que al escanearlo es capaz de robar la sesión y acceder a todos los mensajes de alguien.
El ataque funciona de la siguiente manera, según Eset: los cibercriminales desarrollan una herramienta que captura y almacena la imagen del código QR generado por WhatsApp y crean un nuevo código que luce muy similar. Pueden hacerle llegar ese código a sus víctimas por medio de un sitio de anuncios falso o simplemente simulando el sitio de WhatsApp oficial. Al escanearlo, el atacante almacena la sesión en su computador y puede utilizarla como desee sin que el usuario lo note pues no se causa ningún tipo de interrupción en la aplicación.
Eset advierte que esta misma técnica se puede utilizar en otros servicios que realicen validaciones mediante códigos QR. Por ejemplo, pueden crear una publicidad falsa que supuestamente ofrece un año gratis de algún servicio y para acceder al beneficio es necesario escanear un código QR.
Si bien es esencial que los fabricantes y desarrolladores de aplicaciones tomen medidas de seguridad como crear otros métodos de validación, lo más importante es que usted como usuario tome las medidas necesarias para evitar ser víctima. Estas son algunas de las recomendaciones que entrega la compañía Eset:
- No importa la marca o el servicio, sospeche si algún anuncio publicitario solicita que debe escanear un código QR a cambio de algún beneficio o como parte de un proceso de validación.
- Cerciórese de usar las páginas oficiales de las compañías. Tenga en cuenta que WhatsApp solamente ofrece el servicio de códigos QR para ingresar a la plataforma desde su computador.
- Si escaneó un código para acceder a un supuesto servicio de WhatsApp, diferente al ofrecido por la plataforma, lo más seguro es que haya caído en las redes de un cibercriminal. La recomendación es ir al menú principal de la aplicación, seleccionar la opción ‘WhatsApp Web’ y cerrar todas las sesiones que fueron iniciadas. De esta forma, el criminal perderá cualquier acceso.
- Realice actualizaciones constantes de las aplicaciones y servicios que utilice pues con ellas se corrigen algunos problemas de seguridad.
- Instale un ‘software’ de seguridad que le alerte de la presencia de posibles amenazas.