El spoofing es una técnica en la que un atacante falsifica la identidad de un usuario para hacerse pasar por él con fines maliciosos.
ESET advierte que en el WhatsApp spoofing, el ciberdelincuente toma el control de una cuenta y envía mensajes en nombre de la víctima. Para ello, se vale de diferentes medios, como la clonación de la tarjeta SIM o eSIMs, y el QRLJacking, entre otros.
El QRLJacking (Quick Response Code Login Jacking) es un vector de ataque de ingeniería social simple que puede afectar a cualquier aplicación que dependa de la función “Iniciar sesión con código QR”.
La víctima, engañada, escanea el código QR enviado por el cibercriminal, permitiendo al atacante desviar las comunicaciones a su propio servidor, desde donde podrá enviar mensajes e intervenir conversaciones.
“Este tipo de ataques puede pasar desapercibido, ya que la víctima puede seguir logueándose en su sesión de WhatsApp web o desktop. Esto marca una diferencia con otros casos en los que la cuenta de WhatsApp queda inaccesible para la víctima, como en el secuestro pleno de la cuenta”, explicó Fabiana Ramírez Cuenca, investigadora de seguridad informática de ESET Latinoamérica.
La autenticación de WhatsApp desktop o WhatsApp web mediante QR se realiza a través de un websocket, que establece una comunicación interactiva entre el navegador del usuario y el servidor de WhatsApp.
Cada cierto tiempo, el servidor solicita una actualización del código QR, y al escanearlo, se remite información del usuario que permite identificarlo como el titular de la cuenta. Este tráfico está cifrado de extremo a extremo.
ESET ha simulado la intervención de una cuenta de WhatsApp mediante QRLJacking. En este ejemplo, el atacante genera un QR de inicio de sesión falso y, a través de ingeniería social, induce a la víctima a escanearlo.
Una vez escaneado, el ciberdelincuente obtiene acceso a la cuenta y puede enviar mensajes y leer conversaciones sin que la víctima lo advierta.
Consejos para evitar ser víctima de ataques de WhatsApp spoofing:
- Verificar la fuente del código QR: Nunca escanear un código QR de WhatsApp proveniente de fuentes no confiables. Si se recibe un QR por mensaje, correo o sitio web sospechoso, es mejor ignorarlo. Los códigos QR deben ser escaneados únicamente desde el sitio oficial de WhatsApp Web o la aplicación de WhatsApp.
- Habilitar la verificación en dos pasos (2FA): Esto añade una capa adicional de seguridad. Incluso si alguien logra acceder a la sesión, necesitaría un código PIN adicional para iniciar sesión en otros dispositivos.
- Revisar sesiones activas regularmente: En WhatsApp, se puede revisar y cerrar sesiones activas en otros dispositivos desde la configuración. Si se identifica actividad sospechosa, es crucial cerrar la sesión de inmediato.