El término QRLJacking es una contracción gramatical en inglés de quick response login jacking o “secuestro del inicio de sesión con (código de) respuesta rápida”. Se trata de una estafa muy común en los entornos digitales actualmente, pues tiene el potencial de afectar un amplio espectro de plataformas en línea. Asimismo, ninguna red social es inmune a este problema y, en particular, WhatsApp es de las más vulnerables.

Usualmente, los hackers apuntan su trampa a aquellos usuarios que desean iniciar sesión en WhatsApp Web, la versión de la aplicación para exploradores de laptops y ordenadores de escritorio. Para ello, elaboran una página de phishing idéntica al website verdadero de la red social en donde colocan un código QR malicioso. Este último está programado para extraer la información del login; mas, el robo de datos delicados podría extenderse a otras apps.
En los siguientes párrafos se exponen detalles al respecto.
 

¿Por qué el QRLJacking se ha convertido en una estafa común?
El primer motivo por el cual el fraude con códigos QR maliciosos se ha vuelto bastante frecuente es la multifuncionalidad de estos símbolos. Dicha cualidad es altamente apreciada por los marketeros y se ajusta a las necesidades de los negocios en diferentes rubros. Por ello, son ideogramas prácticamente omnipresentes en la cotidianidad del siglo XXI, tanto en los entornos digitales como en el “mundo real”.

Ante esto, las empresas necesitan recurrir a proveedores de software —como Beaconstac, por ejemplo— al momento de crear los códigos QR de sus pautas promocionales. De esa manera, los negocios pueden protegerse de la mayoría de contratiempos asociados los fraudes online basados en estrategias de ingeniería social. En paralelo, nunca está de más que las personas adopten las mismas medidas para proteger sus dispositivos.
 

Cómo detectar un código QR peligroso
Según una investigación realizada por Scantrust (2022), el 80 % de los usuarios estadounidenses piensa que los códigos QR son seguros. Sin embargo, entre ellos sólo el 37 % sabe cómo identificar un ideograma peligroso. Esta situación preocupa a los profesionales de seguridad informática debido al aumento sostenido del uso de los QR desde la aparición del Covid-19.

Al respecto, Itxaso Reboleiro —analista de ciberinteligencia en Entelgy Innotec Security— afirma que la toma de conciencia es siempre el punto de partida para repeler los ciberataques de ingeniería social. En complemento, Reboleiro propone a las compañias la adopción de pequeñas sesiones de entrenamiento junto con la distribución de boletines informativos con detalles sobre las ciberamenazas más recientes.

Prevención del QRLJacking en WhatsApp
El paso primordial es prestar atención a la barra de direcciones cuando se abra el portal de WhatsApp Web, la misma debe ser https://web.whatsapp.com/. Cualquier modificación (por más que sea sólo una letra) podría ser indicio de la presencia de un sitio web de phishing. En términos simples, esto es una página falsa muy parecida a la verdadera en donde el código QR está programado para robarse los datos de inicio de sesión del usuario.

Si alguna persona desprevenida escanea el símbolo infectado, el ciberdelincuente tomará el control completo de la cuenta de WhatsApp. Lo peor es que el robo no se detiene allí, en casi siempre el hacker también obtiene acceso al dispositivo móvil entero del afectado. Es más, en caso de no notificar rápidamente al proveedor de telefonía celular, el criminal puede suplantar la identidad y cometer fechorías a nombre de la víctima.

Implicaciones del QRLJacking en WhatsApp
Uno de las secuelas más nefastas de la suplantación de identidad es que los cibercriminales acceden a los contactos del estafado, a quienes envían más QR maliciosos. Pero eso no es todo, después los delincuentes suelen aprovechar la libreta de conocidos robada para compartir imágenes, gifs y vídeos con malwares ocultos. De esa forma, “la epidemia” de filtraciones de seguridad y de robo de información se expande.

Evidentemente, el delincuente se vale de la confianza del receptor —sin saber que el remitente es, en realidad, un hacker— para ampliar el alcance de sus prácticas cleptómanas. Al mismo tiempo, los softwares nocivos pueden ser compartidos (escondidos en vídeos o documentos pdf, por ejemplo) entre familiares y amigos ignorantes del peligro latente.

Consejos para reforzar la seguridad de WhatsApp
En 2019 y 2022, WhatsApp sufrió dos ciberataques masivos que paralizaron la plataforma de la red social en casi todo el mundo durante varias horas. Ambas agresiones fueron ejecutadas por hackers mediante la inyección de malwares en la función de vídeo-llamadas. Por este motivo, los encargados de la seguridad de Meta (corporación dueña de WhatsApp) implementaron una serie de herramientas complementarias para reforzar la seguridad. Entre ellas:

Proteger con contraseñas las cuentas de perfil
A pesar del cifrado de extremo a extremo para todos sus mensajes, los especialistas en seguridad informática recomiendan proteger las cuentas de WhatsApp con contraseña. Específicamente, las claves deben ser robustas, por lo tanto, si el usuario escoge una frase fácil de recordar, también será fácil de hackear. En cambio, una secuencia de al menos 10 caracteres con números y símbolos especiales es bastante difícil de descifrar.

Para habilitar la función de contraseñas basta con entrar a la configuración de la cuenta en la app móvil o en la versión web. Luego, dentro del apartado de la privacidad existe una pestaña para programar el bloqueo de la pantalla tras uno, quince o sesenta minutos de inactividad. Finalmente, se crea la contraseña después de seleccionar el tiempo considerado conveniente.

Habilitar la verificación de dos pasos
A través de la verificación de dos pasos, los usuarios aseguran sus perfiles con una contraseña fuerte —como la descrita en la sección anterior— más un pin numérico privado. Entonces, si un hacker consigue descifrar la clave secreta de desbloqueo, se encontrará con una barrera adicional que le impedirá apoderarse de la cuenta.
No hacer clic en los enlaces enviados en mensajes.

Si una persona (incluso alguien de mucha confianza) envía un link a través de WhatsApp… podría ser una señal de alerta. Ante tal circunstancia, se aconseja solicitar al remitente una confirmación —mediante una nota de voz, preferiblemente— de que realmente ha sido él quien envió el enlace en cuestión. En añadidura, los usuarios pueden apoyarse en herramientas como las VPN y softwares de protección contra los malwares.