Aunque WhatsApp cifra el contenido de los mensajes de extremo a extremo, sigue habiendo posibilidades de que alguien pueda hackear la aplicación, ya que los métodos de los ciberdelincunetes para conseguirlo se van depurando día a día. Ahora ha sido la firma especializada en seguridad informática ESET, la que ha dado a conocer un nuevo sistema de hackeo de WhatsApp, mediante el escaneo del código QR que se utiliza para iniciar sesión en WhatsApp Web.
Millones de personas con WhatsApp instalado en su móvil, acceden diariamente a la versión web de la aplicación y que permite continuar con las conversaciones desde el ordenador y utilizando el teclado. Es precisamente esta forma de iniciar sesión la que está siendo aprovechada para hackear WhatsApp sin que los dueños de las cuentas sean conscientes, poniendo a disposición del atacante contactos, conversaciones y archivos.
Método basado en códigos QR
Para conseguir su objetivo, los atacantes utilizan un sistema conocido como QRjacking, que utiliza técnicas de ingeniería social para asegurarse que la víctima escanea un código QR generado por el ciber-delincuente. Para acceder a WhatsApp Web, el usuario debe escanear un código QR para permitir el acceso directo a la versión de escritorio de la aplicación, pero el acceso se produce desde una web diferente de la oficial, que en todos los casos es https://web.whatsapp.com.
El código QR de WhatsApp almacena información para validad el acceso de los usuarios a la versión web, pero no ofrece ningún tipo de validación adicional, además, la sesión permanecerá abierta una vez apagado el PC, a no ser que se indique lo contrario o se proceda a cerrarla manualmente desde la app móvil. Esto nos permite aprovechar las ventajas de los móviles con la opción para leer y escanear códigos QR con la cámara.
Para evitarlo
Sabiendo esto, los cibercriminales crearon herramientas que capturan y almacena la imagen QR generada por WhatsApp para crear un código alternativo que es el que se mostrará a la víctima. Una vez tienen acceso, la victima no se percatará de nada, incluso podrá seguir haciendo un uso normal de la aplicación de su teléfono móvil. Para evitar ser víctimas de este tipo de hackeo, ESET recomienda no escanear ningún tipo de código QR sospechoso o publicidad que pueda estar suplantando el servicio de WhatsApp Web.
Así mismo se recomienda no usar en la medida de lo posible redes públicas o poco confiables, ya que el ataque se produce cuando el atacante está conectado a la misma red que sus víctimas. Por tanto, aeropuertos o cafeterías son campo de cultivo para este hackeo. Por último, si somos usuarios activos de WhatsApp Web, es recomendable cerrar la sesión siempre que se deje de utilizar, y cerciorarse desde la propia app móvil que no haya ninguna sesión iniciada.
Por último, te recomendamos hacer uso de este código para saber si te han hacheado el teléfono.