Nueva estafa en WhatsApp: acceden a tu cuenta mediante un código QR y la usan en simultáneo
Se trata de un nuevo método que en lugar de robar el perfil de un usuario permite que lo usen en simultáneo. Cómo se hace y las claves para evitarlo
- 6 minutos de lectura'
WhatsApp se convirtió en una herramienta esencial para comunicarnos, pero también es un blanco atractivo para los ciberdelincuentes. El robo de cuentas de WhatsApp puede tener graves consecuencias, desde la pérdida de información personal hasta la suplantación de identidad para estafar a tus contactos. Aunque se hable de hackeos, lo cierto es que la mayoría de los robos de cuentas de WhatsApp o cuentas de banco se hacen mediante lo que se denomina “ingeniería social”. O dicho de otra forma: versos para engañar a la persona y que entregue su información personal.
En WhatsApp lo más usado en el último tiempo era el robo de cuentas mediante ofertas tentadoras, como turnos de vacunas, descuentos o regalos que involucraban el envío de un código. Pero ahora hay una nueva técnica que, en lugar de tomar el control absoluto de WhatsApp, lo comparte entre el dueño y el ladrón: es como darle un acceso al WhatsApp Web, la opción en el navegador que replica el contenido del celular, o mejor al activar el modo compañero, que permite usar el mensajero en dos celulares en simultáneo. Y todo con solamente el escaneo de un código QR.
El laboratorio de Seguridad Informática de ESET, una empresa de ciberseguridad, descubrió este nuevo sistema llamado WhatsApp Spoofing, mediante el que los delincuentes toman el control parcial de la cuenta para poder enviar mensajes en lugar de la víctima, pero sin quitarle el acceso, ya que eso alertaría sobre su presencia no autorizada.
¿Cómo lo hacen? El criminal usa un código QR que la víctima escanea sin saber que le está otorgando acceso a su cuenta, desviando la comunicación a su propio servidor o plataforma. Lo más complicado: la víctima no sabe que alguien más está leyendo sus chats o escribiendo por él o ella.
“Este tipo de ataques puede pasar desapercibido por la víctima, ya que podrá seguir logueándose y abriendo a su sesión de WhatsApp Web o desktop. Esto marca una diferencia respecto de otros casos en los que la cuenta de WhatsApp queda inaccesible para la víctima, como por ejemplo el secuestro de WhatsApp pleno”, detalla Fabiana Ramírez Cuenca, investigadora de ESET Latinoamérica.
Aunque en abstracto parezca raro que uno pueda escanear un código sin saber que se está entregando el acceso a WhatsApp, lo cierto es que este tipo de engaños se multiplican y lo único que hace falta para ser víctima es un momento de distracción o no haber tomado previamente las medidas de prevención para evitarlo.
“El pedido de escaneo de código se lleva adelante con técnicas de ingeniería social para convencer a la víctima de que realice el escaneo. Esto, en sus distintos métodos, es lo más visto actualmente en tema de estafas. La falta de atención o capacitación de los usuarios en seguridad informática hace que los atacantes se vuelquen a este tipo de tácticas por su efectividad”, resume Cuenca al hablar sobre los robos de cuentas de WhatsApp.
Otra estafa en WhatsApp: encuesta falsa de un supermercado por Halloween
Los mensajes que simulan ser de empresas, con premios, sorteos o regalos, siguen siendo una de las opciones más simples y efectivas de realizar robos de cuentas de WhatsApp. Otra vez volvió a circular una encuesta falsa, que simula ser del supermercado Jumbo, y anuncia un sorteo de Halloween o “regalos de carnaval de Halloween” (con un extraño crossover entre dos fiestas completamente diferentes).
Este es el mensaje que incluye un link a una URL sin relación alguna con Jumbo o Cencosud, la dueña de la cadena. Al hacer clic en el link se abrirá un botón para “reclamar regalo”, que abrirá una encuesta que permitirá obtener el premio un iPhone 15. Al terminar la encuesta, la persona deberá participar del sorteo por el regalo (que ya había ganado), e incluso aparece un comentario de alguien que lo recibió en poco tiempo. Por último, la plataforma invita a compartir la encuesta con la mayor cantidad de contactos posibles, para acelerar el proceso de revisión del premio.
En casos anteriores en el que se suplantó a la misma entidad, desde ESET se observó que los enlaces llevaban a la descarga de una aplicación maliciosa que robaba datos personales del usuario, o en otros casos, instalaban extensiones maliciosas.
Claves para evitar caer en las estafas en WhatsApp
- Para no ser víctima de esta nueva modalidad vía QR, lo más importante es estar atento a los mensajes que nos llegan. De la misma forma que no se debe hacer clic en enlaces desconocidos que llegan por WhatsApp, correos o mensajes de texto, tampoco tenemos que escanear desde WhatsApp códigos QR que nos envía un tercero sin confirmar antes su origen.
- Otro punto fundamental es revisar en forma regular qué sesiones tenemos activas: en WhatsApp, se puede revisar y cerrar las sesiones activas en otros dispositivos desde la configuración de la app móvil, haciendo clic en el menú que lleva a los ajustes y entrando a Dispositivos vinculados. Si se identifica alguna actividad sospechosa, conviene cerrar esa sesión de inmediato.
- Para la mayoría de los robos de cuentas de WhatsApp, una de las claves es tener habilitada la verificación en dos pasos. Esta función añade una capa extra de seguridad al solicitar un código PIN secreto de seis dígitos cada vez que intentes registrar tu número de teléfono en un nuevo dispositivo. De esta manera, aunque alguien consiga tu código de verificación por SMS, no podrá acceder a tu cuenta sin conocer tu PIN personal. Esto se activa desde Ajustes > Cuenta > Verificación en dos pasos.
¿Qué hacer si te roban la cuenta?
Si creés que te robaron la cuenta de WhatsApp debés hacer lo siguiente:
- Intentá iniciar sesión con tu número de teléfono y código de verificación. Si tenés la verificación en dos pasos activada, necesitarás también tu PIN de seis dígitos.
- Si no podés iniciar sesión, enviá un correo electrónico a WhatsApp (support@whatsapp.com) con el asunto “Cuenta robada/clonada”. Incluí tu número de teléfono en formato internacional y describí lo sucedido con el mayor detalle posible. Podés mandar el correo en castellano.
- Informá a tus contactos que tu cuenta fue robada. De esta manera, evitarás que caigan en estafas o fraudes que puedan cometer los ciberdelincuentes utilizando tu identidad.