Qué es WhatsApp 'spoofing', peligroso ataque que víctimas no notan: pasos para evitarlo

Así como WhatsApp tiene una papelera que muchos usuarios aún no aprovechan, hay un mecanismo en el que las personas quedan expuestas sin que muchas veces descubran a tiempo que lo están.

¿De qué trata el WhatsApp ‘spoofing’?

El WhatsApp ‘spoofing’ es una técnica en la que un atacante falsifica la identidad de un usuario a fin de hacerse pasar por él con fines maliciosos y sin que la víctima lo nota muchas veces, explicó ESET, compañía experta en detección proactiva de amenazas.

Con el WhatsApp ‘spoofing’, el ciberdelincuente toma el control de una cuenta y envía mensajes en nombre de la víctima. Para esto, el atacante se vale de distintos medios, como pueden ser la clonación de la tarjeta SIM o eSIMs, o el QRLJacking, entre otros.

A diferencia de otras estafas por WhatsApp donde secuestran la cuenta, el peligro de esta está en cómo pasa inadvertida, con lo que se pueden exponer datos sensibles a corto y mediano plazo.

¿Cómo ‘hackean’ en WhatsApp con código QR?

El QRLJacking (Quick Response Code Login Jacking) es un vector de ataque de ingeniería social simple que puede afectar a las aplicaciones que dependan de la función ‘Iniciar sesión con código QR’.

La víctima escanea, engañada, el código QR que le envía el cibercriminal, y, sin darse cuenta, entrega el control de su cuenta y habilita al atacante a poder desviar las comunicaciones a su propio servidor, desde el cual podrá enviar mensajes e intervenir conversaciones.

“Este tipo de ataques puede pasar desapercibido por la víctima, ya que podrá seguir logueándose y abriendo a su sesión de WhatsApp web o desktop. Esto marca una diferencia respecto a otros casos en los que la cuenta de WhatsApp queda inaccesible para la víctima, como por ejemplo el secuestro de WhatsApp pleno”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

La autenticación de WhatsApp ‘desktop’ o WhatsApp web a través de QR se hace mediante un ‘websocket’ (que abre una sesión de comunicación interactiva entre el navegador del usuario y el servidor de WhatsApp). Cada cierto lapso de tiempo el servidor se comunica con el ‘websocket’ solicitando una actualización del código QR del WhatsApp web o ‘desktop’.

Al escanear el QR, y para la autenticación, se remite información del usuario al servidor, lo que permitirá identificarlo como titular de la cuenta. Esta comunicación en tráfico se encuentra cifrada de extremo a extremo.

En esa intervención de una cuenta de WhatsApp mediante el QRLjacking, el ciberataque permite que el delincuente envíe mensajes a nombre del titular y leer sus mensajes sin que la víctima pueda advertirlo. Hay pasos para evitarlo.

¿Cómo evitar que ‘hackeen’ WhatsApp por medio de código QR?

• Verificar la fuente del código QR: nunca escanear un código QR de WhatsApp desde fuentes no confiables. Si se recibe un QR por mensaje, correo o sitio web sospechoso, es mejor ignorarlo. Los códigos QR de sesión deben ser escaneados únicamente desde el sitio oficial de WhatsApp Web o la aplicación de WhatsApp.
• Habilitar la verificación en dos pasos (2FA): así, incluso si alguien obtiene acceso a la sesión mediante un ataque de QRLJacking, necesitaría un código PIN adicional para iniciar sesión en otros dispositivos.
• Revisar sesiones activas regularmente: en WhatsApp, se puede revisar y cerrar las sesiones activas en otros dispositivos desde la configuración. Si se identifica alguna actividad sospechosa, cerrar la sesión de inmediato.