
El spoofing es una técnica en la que un atacante falsifica la identidad de un usuario para hacerse pasar por él con fines maliciosos.
En el contexto de WhatsApp, esto se traduce en el control de una cuenta, permitiendo al ciberdelincuente enviar mensajes en nombre de la víctima.
Para llevar a cabo este ataque, se utilizan diferentes métodos, como la clonación de tarjetas SIM o eSIMs, y el QRLJacking.
QRLJacking
El QRLJacking (Quick Response Code Login Jacking) es un vector de ataque de ingeniería social que afecta a las aplicaciones que dependen de la función «Iniciar sesión con código QR».
En este caso, la víctima escanea un código QR engañoso enviado por el atacante, entregando sin saber el control de su cuenta, permitiendo al ciberdelincuente desviar las comunicaciones a su propio servidor y enviar mensajes, así como intervenir en conversaciones.
Este tipo de ataque puede pasar desapercibido para la víctima, quien puede seguir accediendo a su sesión de WhatsApp web o de escritorio. Esto marca una diferencia con otros casos de secuestro de cuentas, donde la víctima pierde completamente el acceso.
La autenticación de WhatsApp en dispositivos de escritorio se realiza a través de un websocket, que establece una comunicación interactiva entre el navegador y el servidor de WhatsApp.
Cada cierto tiempo, el servidor solicita una actualización del código QR, y al escanearlo, se envía información del usuario al servidor para validar su identidad, cuya comunicación está cifrada de extremo a extremo.
El QRLJacking explota vulnerabilidades en este proceso. En una simulación de ataque, se genera un código QR falso que se envía a la víctima.
Si esta lo escanea, el atacante obtiene acceso a su cuenta y puede iniciar sesión, por lo que a partir de ese momento, puede espiar conversaciones, leer mensajes y enviar mensajes suplantando la identidad de la víctima.
Para evitar ser víctima de estos ataques, aquí hay algunas recomendaciones:
Verifica la fuente del código QR
Nunca escanees un código QR de WhatsApp proveniente de fuentes no confiables. Si recibes un QR a través de mensajes, correos o sitios web sospechosos, es mejor ignorarlo.
Los códigos QR deben ser escaneados solo desde el sitio oficial de WhatsApp Web o la aplicación de WhatsApp.
Habilita verificación 2FA
El 2FA agrega una capa extra de seguridad. Incluso si alguien logra acceder a la sesión mediante un ataque de QRLJacking, necesitaría un código PIN adicional para iniciar sesión en otros dispositivos.
Revisa sesiones activas
En WhatsApp, puedes revisar y cerrar sesiones activas en otros dispositivos desde la configuración, por lo que si identificas alguna actividad sospechosa, cierra la sesión de inmediato.
Conocer estas técnicas y cómo protegerse es esencial en un mundo donde la seguridad digital es cada vez más crítica.
Recomendamos
- Cóctel tinto de verano: Receta de una refrescante experiencia estival
- ¿Riesgos con el escaneo de iris? Chile apuesta por una mejor autenticación de identidad


