– Publicidad –
La suplantación de identidad es una técnica en la que un atacante falsifica la identidad de un usuario para hacerse pasar por él con fines maliciosos. ESETEmpresa líder en detección proactiva de amenazas, advierte que en el spoofing de WhatsApp el ciberdelincuente toma el control de una cuenta y envía mensajes en nombre de la víctima. Para ello, el atacante utiliza diversos medios, como la clonación de la tarjeta SIM o eSIM, o QRLJacking, entre otros.
Él QRLJacking (Jacking de inicio de sesión con código de respuesta rápida) es un vector de ataque de ingeniería social simple que puede afectar a todas las aplicaciones que dependen de la función “Iniciar sesión con código QR”. La víctima, engañada, escanea el código Qque le envía el ciberdelincuente y, sin darse cuenta, cede el control de su cuenta y permite al atacante desviar las comunicaciones a su servidor, desde donde puede enviar mensajes e intervenir en las conversaciones.
“Este tipo de ataque puede pasar desapercibido para la víctima, ya que puede seguir iniciando sesión y abriendo su sesión web o de escritorio de WhatsApp. Esto marca una diferencia respecto a otros casos en los que el cuenta whatsapp permanece inaccesible para la víctima, como el secuestro completo de WhatsApp.”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad TI de ESET Latinoamérica.
Autenticación de escritorio de WhatsApp WhatsApp web vía Qse realiza con un websocket (que abre una sesión de comunicación interactiva entre el navegador del usuario y el servidor de WhatsApp). Cada determinado periodo de tiempo el servidor se comunica con el WebSocket solicitando una actualización del código Qweb o de escritorio de WhatsApp. Al escanear el QR, y para la autenticación, la información del usuario se envía al servidor, permitiendo identificar al usuario como el propietario de la cuenta. Esta comunicación de tráfico está cifrada de extremo a extremo.
ESET comparte un ejemplo simulado de hackeo de una cuenta de WhatsApp usando el QRLjackinguna técnica en la que el atacante genera un Qde inicio de sesión falso con el que tomar el control de una cuenta. De esta forma podrás enviar mensajes en nombre del propietario y leer sus mensajes sin que el propietario se dé cuenta.
Para esta demostración de ESET se utilizó una herramienta OpenSource. Se genera un Qy luego, utilizando técnicas de ingeniería social, se envía a la víctima y se la induce a escanear desde el dispositivo.
Pie de imagen: Interfaz de la herramienta para generar el Qfalso.
Una vez escaneado el QR, el ciberdelincuente aquí simulado accede a WhatsApp y puede acceder a la cuenta de la víctima.
Leyenda: El atacante tiene control sobre la cuenta y puede espiar conversaciones y enviar mensajes en nombre de la víctima.
A partir de ese momento, el intruso puede espiar las conversaciones, ver su contenido y remitentes, y puede empezar a enviar mensajes desde el número de la víctima, suplantando su identidad.
Leyenda: El atacante interviene en una conversación activa de la víctima.
El laboratorio de investigación de ESET comparte algunos consejos para evitar ser víctima de este tipo de ataques:
- Consulta la fuente del código QR: Nunca escanees un código Qde WhatsApp de fuentes no confiables. Si recibe un Qa través de un mensaje, correo electrónico o sitio web sospechoso, es mejor ignorarlo. Los códigos Qde sesión solo deben escanearse desde el sitio web oficial de WhatsApp o la aplicación de WhatsApp.
- Habilite la verificación en dos pasos (2FA): Entonces, incluso si alguien accede a la sesión a través de un ataque QRLJacking, necesitaría un código PIN adicional para acceder a otros dispositivos.
- Revise las sesiones activas periódicamente: En WhatsApp puedes revisar y cerrar sesiones activas en otros dispositivos desde la configuración. Si se identifica alguna actividad sospechosa, desconéctese inmediatamente.
– Publicidad –