Los cibercriminales se aprovechan de para convencer a las víctimas de escanear el código QR generado por ellos para realizar el ataque
07.06.2019 • 13:36hs • QRLjacking
QRLjacking
Cómo podés evitar que te roben tu cuenta de WhatsApp a través del código QR
/https://assets.iproup.com/assets/jpg/2019/05/4222.jpg)
Como si no bastara con la existencia de mensajes maliciosos con alguna promesa tentadora y con la única intención de perjudicar a las víctimas, los cibercriminales también se aprovechan de distintos medios que les permiten, por ejemplo, secuestrar por completo una cuenta de WhatsApp.
Para lograr semejante objetivo, pueden utilizar un tipo de ataque conocido como QRLjacking, el cual se aprovecha de técnicas de ingeniería social para atacar aplicaciones que utilizan código QR como método para registrarse, como la propia aplicación de WhatsApp, que ofrece a los usuarios la posibilidad de utilizar la app en una computadora.
Quien ya utilizó la app de mensajería en una computadora sabe que el proceso es bien simple: situado frente a la pantalla principal de la aplicación, solo es necesario acceder a las opciones (arriba a la derecha) y seleccionar "WhatsApp Web", para que una vez marcada la opción aparezca una pantalla para el escaneo de un código QR. Luego, solo basta con abrir la página de acceso a WhatsApp en la computadora (https://web.whatsapp.com), escanear el código a través de la aplicación y listo; la app puede ser utilizada en la computadora.
Los cibercriminales se aprovechan de esa función para convencer a las víctimas de escanear el código QR generado por ellos para realizar el ataque.
Cómo funciona el ataque de QRLJacking
El código QR es una imagen que, después de interpretada, genera un conjunto de códigos. En el caso de WhatsApp, la app utiliza ese código para validar el acceso de los usuarios a su sistema, sin ningún tipo de validación adicional.
Los cibercriminales han desarrollado herramientas que capturan y almacenan la imagen del código QR generado por WhatsApp y crean un nuevo código QR para mostrar a la víctima, tal como se puede apreciar en las imágenes anteriores.
Después de eso, la sesión de la víctima queda almacenada en la computadora del criminal y éste puede utilizarla como desee, incluso sea sin causar ningún tipo de interrupción en el uso de la aplicación en el teléfono de la víctima.
Cómo evitar ser víctima de este engaño
No es necesario dejar de utilizar un recurso por el simple hecho de que se descubra que no cuenta con las características de seguridad suficientes para evitar que las cuentas sean secuestradas. Basta con tener un comportamiento seguro y mantenerse alerta, ya que algunos detalles no pueden ser alterados ni siquiera por el atacante más experimentado:
- Conocer las aplicaciones que se utiliza. En el caso de WhatsApp, el recurso para escanear códigos QR sirve única y exclusivamente para permitir que los usuarios utilicen la aplicación en sus computadoras, nada más. Hay que sospechar si algún anuncio publicitario solicita que el usuario escanee un código QR a cambio de algún beneficio o como parte de un proceso de validación, independientemente del sitio o marca que represente el anuncio. En caso de que un servicio, aplicación o empresa utilice un recurso como el código QR como parte de una acción o beneficio, el mismo sería ampliamente divulgado a través de sus canales oficiales.
- Utilizar lo mínimo necesario las redes públicas o poco confiables. Éste y otro tipo de ataques ocurren cuando el cibercriminal está en la misma red que sus víctimas. Es por eso que, en caso de utilizar una red pública o que no sea segura, hay que evitar acceder a información que no sea extremadamente necesaria para usted en ese momento.
- Estar atento en el momento en que navega por Internet, incluso estando en redes seguras, como puede ser en el hogar o en el trabajo. Lamentablemente, cualquier persona puede terminar siendo un cibercriminal, por lo que no es posible saber qué tan cerca podemos estar de ellos.
- Cuando se produce un ataque de este tipo, el usuario no suele recibir ningún tipo de devolución. Por lo tanto, en caso de que escanee un código y no reciba ninguna acción como respuesta, probablemente se trate de un ataque. En caso de dudas, en la pantalla principal de WhatsApp selecciona la opción "WhatsApp Web" y cierra todas las sesiones que fueron iniciadas. Esto hará que los criminales pierdan acceso el acceso a la cuenta de WhatsApp de sus víctimas de forma inmediata.
- Mantener todos los programas de seguridad activados y configurados para bloquear amenazas, tanto en tu smartphone como en tu computadora.
- Actualizar de forma constante todos los programas y aplicaciones que utilice. Las actualizaciones traen nuevos recursos y corrigen eventuales problemas de seguridad que los programas puedan tener.
:quality(85)/https://assets.iproup.com/assets/jpg/2025/04/42563_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2022/12/32412_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/05/42777_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/02/42040_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2022/02/26089_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2019/10/6292_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/02/41766_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2024/08/39885_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2024/06/38955_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/03/42323_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/05/42773_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/05/42770_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2024/09/40074_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpeg/2024/09/40079_landscape.jpeg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/04/42532_landscape.jpg)