Increíble pero cierto. El laboratorio de investigación de la empresa de ciberseguridad ESET ha detectado casos en que cibercriminales acceden de manera deliberada a datos de cuentas de WhatsApp, logrando tener acceso a contactos, archivos y conversaciones de la víctima, todo a través de un código QR.

Primero comencemos explicando qué es un código QR.

Seguramente habrás visto una imagen similar a ésta:

Esta imagen es un código de barras bidimensional cuadrado que almacena datos codificados. Usualmente estos datos codificados son enlaces a sitios web. Los códigos QR son muy útiles porque en lugar de de ingresar una dirección de internet (conocida como URL) en tu navegador, solo escaneas el código y automáticamente te redirige al sitio.

Los códigos QR tienen muchos usos y puedes encontrarlos en todo tipo de publicidad, por ejemplo: en revistas, sitios web o apps. A través de ellos es posible brindar información sobre productos y servicios, agregar contactos o enviar correos electrónicos.

Y si son muy útiles, ¿cómo puede afectarme un código QR?

Recordemos que este código QR es usualmente utilizado para dirigirnos a un sitio web. Si un cibercriminal utiliza esta funcionalidad, puede engañar a un usuario para que escanee su código QR y lo redirija a un sitio con contenido malicioso, es decir una ubicación donde se descargue malware en tus dispositivos o se incluya contenido ilegal.

No lo vas a creer pero es común que cibercriminales reemplacen códigos QR en posters o carteles de anuncios publicitarios, por eso debemos prestar mucha atención a los códigos que escaneamos.

¿Cómo funciona el ataque para secuestrar mi cuenta de WhatsApp?

Si utilizas WhatsApp en tu computadora, sabrás que el proceso para registrar tu cuenta es muy sencillo: desde tu Smartphone seleccionas “WhatsApp Web” y en la pantalla aparece la opción de escanear un código QR. Posteriormente abres la página web de acceso a WhatsApp en la computadora (https://web.whatsapp.com) y escaneas el código con tu aplicación. Hasta ese punto todo parece estar muy bien, sin embargo, WhatsApp no cuenta con un proceso de validación adicional, un pequeño detalle que aprovechan los cibercriminales.

Para lograr su cometido, los chicos malos utilizan un tipo de ataque de ingeniería social conocido como QRLjacking, que se enfoca en secuestrar las sesiones de las aplicaciones que utilizan códigos QR. En el caso de WhatsApp, la víctima es engañada simulando el sitio de registro de la plataforma del servicio de mensajería, y en realidad escanea un código QR del atacante, el cual secuestra su sesión y por tanto puede básicamente acceder a toda su información.

Es importante resaltar que este tipo de ciberataque no es exclusivo de WhatsApp, por lo que puede ser utilizado para engañarte con cualquier otro medio que utilice códigos QR.

Suena mal, ¿cómo me protejo?

Además de las recomendaciones habituales que te hemos compartido con respecto al uso de dispositivos tecnológicos, presta particular atención a lo siguiente para evitar que secuestren tu cuenta de WhatsApp o que caigas en un engaño al hacer uso de un código QR:

• De la misma manera que no debes hacer clic en un enlace de un sitio web que no es de confianza, no escanees un código QR de dudosa procedencia.
• Utiliza lectores de códigos QR que te muestren la dirección del enlace antes de abrir el navegador de internet, y valida si la dirección de internet corresponde al sitio al que deseas dirigirte.
• Habitualmente, las campañas de marketing de productos o servicios divulgan a través de sus canales oficiales el uso de un código QR. Comprueba que es auténtico.
• No te conectes a Internet en redes públicas y si tienes necesidad de hacerlo utiliza una VPN.
• Mantén tu computadora y dispositivos protegidos con un antivirus y asegúrate de que siempre esté actualizado.
• Si tienes dudas, ¡pregunta!

Provehito in altum
Por: Juan Pablo Carsi