UEM

AKIBANA

Informática, Análisis de Datos, Gadgets y Nuevas Tecnologías

QRLJacking: Cómo ver conversaciones de WhatsApp de otra persona

Enrique Puertas Director del Master Universitario en Big Data Analytics Blog AKIBANA Publicado 12 Enero 2017

En este post voy a comentar un ataque conocido QRLJacking con el fin de que seamos conscientes del peligro, ya que permite que otra persona robe nuestras conversaciones de WhatsApp.

Dentro del temario de la asignatura de “Seguridad en Redes de Ordenadores” que imparto en la universidad, hay un apartado del temario dedicado a lo que se denomina “Ingeniería Social”, una técnica de intrusión que ataca uno  de los puntos más débiles de un sistema de información: las personas. Dentro de este tipo de ataques podemos encontrar prácticas muy conocidas como el phising (https://es.wikipedia.org/wiki/Phishing) o el scamming (https://es.wikipedia.org/wiki/Scam). Seguro que todos hemos recibido por email alguna vez correos que intentan suplantar páginas de bancos, otras instituciones o a personas legítimas.

En este artículo voy a explicar un ataque menos conocido y relativamente nuevo: el QRLJacking. Este ataque de ingeniería social permite robar cuentas que usan códigos QR como medida de validación (como por ejemplo Whatsapp o AliExpress).

El QRLJacking es un ataque de Ingeniería Social que consiste en engañar a la víctima para que escanee un código QR válido pero que ha sido generado para dar acceso al atacante.

Veamos cómo funcionaría en el caso de WhatsApp. Este es el esquema del ataque:

ataque_qrljacking_whatsapp.jpg

 

  1. El atacante se conecta a la web de whatsapp (web.whatsapp.com) y obtiene un código QR de sesión válido. Dado que estos códigos tienen una validez limitada en el tiempo, necesitamos un servidor que genere peticiones cada 20-30 segundos.

  2. El atacante construye un página web falsa con ese código obtenido del paso 1 y, mediante Ingeniería Social, hacemos que la víctima escanee el código QR con su teléfono.

Un ejemplo del paso 2 sería construir una web que muestre un mensaje como el que vemos en la imagen siguiente, y a continuación hacer que le aparezca a la víctima (usando por ejemplo un ataque de “Man in The Middle”). Cuando la víctima escanee este código, podremos acceder a los mensajes.

fake whatsapp

Los pasos completos para realizar este ataque son fáciles de encontrar en multitud de portales de seguridad y en videos de Youtube y existe software libre que permite realizar este proceso que hemos descrito, por lo que hay que tener mucho cuidado si nos encontramos con un sitio web que nos pide escanear un código usando WhatsApp.

Cómo protegernos

Las medidas que debemos tomar para protegernos de este tipo de fraudes son muy parecidas a las que tomamos con el spam o el phising: Ser cauteloso con todos aquellos sitios que nos soliciten información o que escaneemos un código, sobre todo si hemos iniciado ninguna solicitud de inicio de sesión. Más en concreto, no escanear nunca con whatsapp un código si no lo hemos solicitado explícitamente nosotros accediendo a la web oficial de Whatsapp.

 

 

Compartir en Twitter Compartir en Facebook Share in LinkedIn
Comentarios
Deja un comentario
Posts relacionados
Sin imagen
03Junio
Leer más

BIENVENIDOS

Gleyvis Coro-Montanet Profesora de Universidad

Blog ODONTOINNOVA

Los comienzos son luminosos. Tienen algo de la luz esencial que ilumina las posibles penumbras de nuestros patios interiores. ...
Leer más
Sin imagen
03Julio
Leer más

Introducción de simulación de alta fidelidad en titulación de ODONTOLOGÍA de la UNIVERSIDAD EUROPEA

Gleyvis Coro-Montanet Profesora de Universidad

Blog ODONTOINNOVA

Caracterizada por requerir un elevado número de horas prácticas en sus diseños curriculares, la titulación de Odontología de la Universidad...

Leer más
Sin imagen
31Agosto
Leer más

El maestro y la distancia

Gleyvis Coro-Montanet Profesora de Universidad

Blog ODONTOINNOVA

Para los docentes que vacacionamos en el mes de agosto, asistir al seminario "Educación y Políticas TIC. Los Sistemas Educativos en Contextos de...

Leer más