QRLJacking: el robo de cuentas de WhatsApp usando códigos QR Redacción Banco Pichincha 05 de Diciembre 2022 Seguridad Tiempo de lectura: 4 min La creatividad es una de las mejores cualidades de los cibercriminales. Desde mensajes de texto con virus maliciosos para hackear teléfonos celulares, correos con ofertas o regalos que se pueden obtener descargando aplicaciones dudosas, hasta formas más especializadas como el QRLJacking; es decir, el robo de las cuentas de WhatsApp, incluyendo fotos, mensajes, contactos y otros datos sensibles. Si usas tu cuenta de WhatsApp en tu computador, eres vulnerable a un ataque de QRLJacking en cualquier momento, pero ¿qué es, cómo funciona y cómo prevenirlo? Continúa leyendo para evitar ser víctima de este fraude. ¿Qué es el QRLJacking? El término QRLJacking es un anglicismo que proviene de las siglas Quick Response LogIn Jacking que significa Secuestro de Inicio de Sesión Rápido utilizando códigos QR. Esto quiere decir que los cibercriminales pueden robar la información de los usuarios al momento de escanear un código QR para iniciar sesión en una plataforma que lo requiera, como por ejemplo WhatsApp Web. ¿Cómo funciona un ataque de QRLJacking? Un código QR es una imagen que tu teléfono móvil interpreta para generar una respuesta: abrir una app, agregar un contacto, visitar una web, etc. En principio, estos fraudes se basan en ingeniería social; es decir, el atacante utiliza el engaño para gatillar el ataque. Lo que hace es suplantar un sitio web real al crear una versión similar pero controlada por él. El usuario no se da cuenta del engaño y escanea el código QR malicioso. Una vez que has caído en la trampa y has escaneado el código, el cibercriminal obtiene el control absoluto de tu sesión de WhatsApp. Esto incluye fotografías, videos, conversaciones, contactos, etc.... ¡todo!, y sin que la sesión que tienes abierta en tu celular se cierre o te notifique de alguna manera. Así funciona un ataque de QRLJacking. ¿Cómo identificar un ataque de este tipo? Estos son los indicios que te dirán si has sido víctima de QRLJacking: Si al escanear el código QR no te redirige a ningún sitio o, por lo menos, no al sitio web que esperabas. Si accediste a un sitio web con un diseño que parece improvisado. Si al revisar tus sesiones abiertas de Whatsapp, no reconoces el dispositivo desde el que se inició alguna de ellas. Si tienes conversaciones en Whatsapp que no reconoces. Si, tras escanear un código QR, detectas cobros indebidos en tu cuenta bancaria. Si recibiste un correo electrónico con promociones y un código QR para escanear y luego empiezas a tener compras no autorizadas. ¿Cómo prevenir el robo de tus datos mediante QRLJacking? Afortunadamente, el QRLJacking es más difícil de ejecutar de lo que parece, porque los cibercriminales necesitan que tú pesques la carnada y te creas su engaño. Usualmente las webs o anuncios con códigos QR cuyo objetivo es el QRLJacking no tienen un aspecto tan profesional como deberían si se tratara de una oferta real. Los criminales solo quieren obtener tus datos, no son expertos en diseño. Si bien el trabajo de los cibercriminales no es tan prolijo y es posible identificarlo, puedes valerte de estos consejos clave que te ayudarán a evitar caer en este ataque: Evita escanear códigos QR de imágenes que te envíen personas desconocidas o de banners en sitios web de dudosa reputación. Ignora correos electrónicos que contengan promesas de beneficios instantáneos, regalos o sorteos escaneando códigos QR. No ingreses a sitios web que estén hechas para “hackear” cuentas de WhatsApp de terceras personas. Ignora imágenes de vacantes u oportunidades laborales en redes sociales que pidan escanear un QR para registrarse y ser parte del proceso. Evita en lo máximo posible usar redes WI-Fi públicas o ingresar a tu cuenta de WhatsApp Web en computadores que no sean de tu confianza. Si recibes un QR de un conocido, confirma por medio de una llamada telefónica que efectivamente te lo envió y con qué finalidad. Activa la verificación en 2 pasos en las aplicaciones que te pidan acceder a ellas escaneando un QR. Pro Tip Descarga las aplicaciones desde las tiendas oficiales y mantenlas actualizadas. Los desarrolladores de las apps suelen corregir las vulnerabilidades de seguridad con cada nueva versión. ¿Qué hacer si ya escaneaste un código QR que crees que es malicioso? Si mientras leíste este post, se encendieron tus alarmas, puedes comprobar si alguien está usando tu cuenta de WhatsApp en su versión de escritorio y revocarle el acceso inmediatamente para evitar que sigan accediendo a tu cuenta. ¡Es muy fácil! Abre la aplicación de WhatsApp en tu teléfono móvil. Si estás en iPhone, ve a la opción Ajustes > Dispositivos vinculados. Esto lo encontrarás en la parte inferior derecha con un ícono de engranaje. Si estás en Android, la opción se ubica en la esquina superior derecha, topando los 3 puntos que despliegan el menú. Dentro de los dispositivos vinculados encontrarás todos los navegadores y computadoras que tienen acceso a tu cuenta de WhatsApp Web. Si alguna sesión te parece desconocida, ciérrala inmediatamente. Bonus Te invitamos a echar un vistazo a otras opciones de usos seguros de códigos QR que probablemente no sabías que existían y que pueden facilitarte tu día a día. Toma en cuenta que el QRLJacking no es exclusivo de WhatsApp, únicamente es la aplicación que puede hacerte más vulnerable por su uso constante y diario. Puedes ser víctima de este tipo de ciberataque desde cualquier tipo de aplicación que necesite una validación de datos usando códigos QR; por eso, siempre vigila de dónde viene la comunicación que te está llegando. Verifica, por ejemplo, que las promociones o los sorteos sean verdaderos. Los códigos son extremadamente útiles para todo en tu día a día, ¡sigue nuestros consejos y no les temas! Ciberseguridad Riesgos de seguridad Estafa
Evita escanear códigos QR de imágenes que te envíen personas desconocidas o de banners en sitios web de dudosa reputación.
Ignora correos electrónicos que contengan promesas de beneficios instantáneos, regalos o sorteos escaneando códigos QR.
Ignora imágenes de vacantes u oportunidades laborales en redes sociales que pidan escanear un QR para registrarse y ser parte del proceso.
Evita en lo máximo posible usar redes WI-Fi públicas o ingresar a tu cuenta de WhatsApp Web en computadores que no sean de tu confianza.
Si recibes un QR de un conocido, confirma por medio de una llamada telefónica que efectivamente te lo envió y con qué finalidad.
Pro Tip Descarga las aplicaciones desde las tiendas oficiales y mantenlas actualizadas. Los desarrolladores de las apps suelen corregir las vulnerabilidades de seguridad con cada nueva versión.
Bonus Te invitamos a echar un vistazo a otras opciones de usos seguros de códigos QR que probablemente no sabías que existían y que pueden facilitarte tu día a día.