Existen diferentes formas en que los cibercriminales se pueden aprovechar de la falta de precaución o desconocimiento de los usuarios para obtener información privada. Una de estas formas se llama QRL Jacking y consiste en el uso de técnicas de ingeniería social (engaños) para atacar aplicaciones que utilizan código QR para iniciar sesión, tal como ocurre en WhatsApp Web.
Cuando se quiere activar WhatsApp web hay que ingresar a la página correspondiente que tiene un código QR, luego en la app del celular, dentro del menú de configuración (al que se ingresa presionando los tres puntos que están en el margen superior derecho) se elige "WhatsApp web" y se escanea, con el teléfono, el código que está en la pantalla de la desktop.
Cuando se lanza un ataque de QRL Jacking, los hackers logran engañar a la víctima para que escanee un código generado por ellos para vulnerar su cuenta. Expertos de ciberseguridad, en el blog de WeLiveSecurity muestran el ejemplo de una página que fue creada para secuestrar la sesión de la víctima.
¿Cómo lo hacen? Existen diferentes maneras y todo dependerá del ingenio del ciberdelincuente y las técnicas de ingeniería social que emplee. Una opción es que se le envíe al usuario un link que deriva a una página donde dice, por ejemplo, que si inicia sesión al sistema que sea (en este caso WhatsApp web) podría obtener una promoción o descuento. O que incluso lo derive a un sitio que directamente emule (por su estética) ser la página de inicio de WhatsApp web.
Entonces el usuario, abre su aplicación de WhatsApp, va donde dice "iniciar sesión en WhatsApp" y escanea el código QR que se verá en esa página falsa. Claro que al hacerlo no logrará iniciar sesión en la plataforma web, pero ya una vez que haya hecho esto, el ciberdelincuente habrá logrado ingresar en su sistema.
"La sesión está establecida entre el celular y la máquina del atacante", explica a Infobae, Miguel Ángel Mendoza, especialista en seguridad informática de Eset Latinoamérica.
Y añade: "este inicio de sesión es un código QR para la sesión que tiene el atacante en su servidor y luego lo distribuye a las potenciales víctimas. Entonces, si el usuario escanea este código desde el WhatsApp de su móvil, como es un código generado por el atacante éste logrará tener control sobre la cuenta de la víctima".
"Su estructura interna abre una página estándar solamente como ejemplo, ya que el código fuente de la página está disponible para modificación y acepta códigos HTML, scripts, así como otros recursos llevados al desarrollo web", se detalla en el artículo.
El código QR es una imagen que, al interpretarse, genera un conjunto de códigos que son utilizados por muchas plataformas, como WhatsApp para iniciar sesión, sin que se requiera otra validación adicional.
Así es que algunos cibercriminales se aprovechan de esto y generan herramientas que capturan y almacenan la imagen del código QR generado por el sistema y crean otro para mostrarle al usuario que, si no está atento, puede caer en el engaño.
"Después de eso, la sesión de la víctima queda almacenada en la computadora del criminal y éste puede utilizarla como desee, incluso sea sin causar ningún tipo de interrupción en el uso de la aplicación en el teléfono de la víctima", se detalla en el artículo.
Cómo protegerse
Cuando se produce un ataque de este tipo el usuario no recibe la respuesta esperada al escanear el código, que en este caso sería el inicio de sesión en la plataforma WhatsApp web. Así que si hay un indicio de que se haya podido ser víctima de un engaño, como primera medida hay que desconectar el móvil de la red poniéndolo en modo avión, o simplemente apagándolo un rato. "Si se hace eso, lo más probable es que la sesión en la computadora del atacante se cierre", añade Mendoza.
Fijarse bien antes de escanear un código QR. Sospechar si se recibe un link invitando a escanear un código a cambio de recibir algún beneficio o promoción. La mejor manera de ingresar a la plataforma que se quiere entrar es tipeando la dirección en el navegador y no ingresando a través de un enlace que puede derivar a otro sitio.
Ataques como éste ocurren cuando se comparte la misma red que el cibercriminal, por eso es fundamental evitar usar redes públicas o que, aunque sean privadas, no parezcan seguras.
MÁS SOBRE ESTE TEMA:
Sextorsión: un nuevo malware graba la pantalla cuando el usuario mira pornografía
Últimas Noticias
Cencosud tendrá centro comercial en San Juan de Lurigancho y en Miraflores: Uno se construiría este 2026
Luego de terminar la fase 2 de su Cenco Mall en La Molina, la empresa chilena actualizó el estado de sus dos centros comerciales pendientes
Un concejal acusó a la Fiscalía de favorecer al Gobierno tras revocar los cargos contra el director de UNP por omisión en caso Miguel Uribe
La sorpresiva decisión de la Fiscalía de retirar la imputación al director de la Unidad Nacional de Protección generó críticas del concejal Andrés Barrios, que cuestiona la transparencia y la independencia de la administración judicial actual
Universitario vs Melgar 3-2: goles y resumen del triunfo ‘crema’ en amistoso de pretemporada en el Estadio Monumental 2026
Se jugaron cuatro tiempos de 30 minutos. El primer equipo ‘merengue’, con habituales titulares, se impuso 3-1. Mientras que el segundo cayó 1-0, aunque con varios juveniles. Conoce los detalles
Alfonso Navarro, psicólogo experto en adolescentes: “Cada vez hay más estudios que demuestran que las redes sociales no son inofensivas para los adolescentes”
El uso de estas plataformas puede repercutir en la salud mental de los jóvenes
Multas CDMX por placa: ¿cómo saber si mi motocicleta tiene una infracción?
En solo nueve meses de 2025, 155 motociclistas perdieron la vida en accidentes viales en la capital
