Estafa ‘secuestra’ cuentas de WhatsApp con ayuda del usuario – 17/10/2021
Estafas que involucran al robo de cuenta y clonación no Whatsapp han aumentado en los últimos años. Solo en 2020, se estima que más de Se han clonado 5 millones de cuentas desde la aplicación. en Brasil. Los delincuentes están creando cada vez más estrategias para engañar a sus víctimas, pero muchos intentos de fraude dependen de la ayuda directa del propio usuario de Internet, incluso si no lo sabe.
Y estafas como esta son más antiguas de lo que piensas. Un informe publicado por el laboratorio de investigación de la empresa de seguridad virtual Eset advirtió en 2019 que una de las formas cada vez mayores de secuestrar cuentas de WhatsApp era a través de un ataque conocido como QRLjacking.
La acción aprovecha las técnicas de ingeniería social para atacar no solo a WhatsApp, sino a otras aplicaciones que utilizan un Código QR (evolución del código de barras) para su registro y uso en una computadora.
En el caso de WhatsApp, el código QR se genera cuando la persona accede a la aplicación en el navegador web o en la versión de escritorio, en la popular Web de WhatsApp, cuando se escanea este código, el usuario puede acceder a su cuenta en la computadora.
Es por esta función que los delincuentes atacan, según los investigadores de Eset: los delincuentes convencen a las víctimas (por teléfono, correo electrónico, SMS) de escanear un código QR engañoso, que en lugar de presentar una página oficial de WhatsApp, muestra una página falsa que intenta piratear la sesión de WhatsApp de los usuarios.
El laboratorio de investigación señala que el código QR es una imagen que, una vez interpretada, puede contener una URL o cualquier otra información que el dispositivo pueda entender.
Las versiones más nuevas de WhatsApp requieren un desbloqueo biométrico o de PIN para validar una nueva sesión en otro dispositivo. Pero las versiones anteriores, que no fueron actualizadas por el usuario, usan este código para otorgar acceso sin más validación. Conociendo esta peculiaridad, los ciberdelincuentes fueron minuciosos: desarrollaron herramientas capaces de capturar y almacenar la imagen del código QR generado por WhatsApp y crear un nuevo código, del mismo tipo, para mostrárselo a la víctima.
Después de la invasión, la sesión del usuario se almacena en la computadora del pirata y puede usarlo como mejor le parezca. Detalle: el «secuestro» de la cuenta se produce sin el uso de la aplicación en el teléfono móvil de la víctima es necesariamente arrestado.
Eset advierte que todas las aplicaciones que usan el código QR podrían sufrir ataques similares.
como protegerse
La empresa sugiere algunas acciones que sirven como consejos para evitar el pirateo de cuentas en este caso:
- Utilice las redes de Internet Wi-Fi públicas o desconocidas lo menos posible, ya que estos ataques suelen ocurrir cuando el ciberdelincuente está en la misma red que sus víctimas. Si debe utilizar Internet, evite acceder a información que no sea extremadamente necesaria en ese momento.
- Conozca las aplicaciones que está utilizando y tenga cuidado si un anuncio le pide que escanee el código QR a cambio de un beneficio o como parte de un proceso más allá de la validación. En el caso de WhatsApp, el código se utiliza exclusivamente para permitir el uso de la aplicación en la computadora.
- No se equivoque: incluso en redes consideradas seguras, vigilar sigue siendo una buena práctica para al menos ayudar a prevenir diferentes tipos de incidentes de seguridad.
- Preste atención a la respuesta de la aplicación a su comando: si escanea un código y no recibe ninguna acción en respuesta, permanezca alerta. En caso de duda, vaya a la pantalla principal de WhatsApp, seleccione la opción «WhatsApp Web» y finalice todas las sesiones iniciadas. Esto reduce inmediatamente el acceso de los delincuentes a la cuenta.
- Mantenga los programas de seguridad habilitados y actualizados en su dispositivo: configure siempre estos mecanismos para bloquear amenazas, tanto en su teléfono inteligente como en su computadora.
* Con información del artículo de Janaina García
