Por /

Ciberdelincuentes usan códigos QR maliciosos para secuestrar cuentas de Signal

Si usas Signal porque te preocupa la privacidad, agárrate, porque los atacantes han encontrado una forma bastante ingeniosa (y peligrosa) de colarse en tus conversaciones. Están aprovechando la función de «dispositivos vinculados» con códigos QR falsos para engancharse a tu cuenta y leer todos tus mensajes en tiempo real. Sin trampa ni cartón, simplemente te la cuelan y ni te enteras.

¿Cómo funciona este ataque?

Signal permite vincular nuevos dispositivos escaneando un código QR. Hasta aquí, todo bien. Pero los ciberdelincuentes están generando sus propios QR falsos y engatusando a la gente para que los escanee. Resultado: el atacante vincula su dispositivo al tuyo y empieza a cotillear sin que levantes sospechas.

Lo más preocupante es que este ataque no requiere conocimientos avanzados. A diferencia de vulnerabilidades técnicas que explotan fallos de software, aquí los delincuentes simplemente manipulan la confianza de la víctima para que realice la acción por sí misma. Un código QR atractivo puede ser enviado por correo, redes sociales o incluso mostrado en sitios web que simulan ser legítimos.

Una vez dentro, pueden ver, enviar y recibir mensajes en tu nombre. Vamos, que te conviertes en un altavoz involuntario de sus fechorías. Además, si el atacante tiene acceso prolongado, puede recopilar información sobre contactos, patrones de comunicación y detalles personales que podrían ser utilizados para ataques más sofisticados.

¿Quién está detrás de esto?

Según The Hacker News, este truco lo están usando grupos de ciberdelincuentes con lazos en Rusia. Aunque, sinceramente, es un truco tan sencillo que cualquiera con malas intenciones podría adoptarlo en cualquier momento. Los ataques de ingeniería social han demostrado ser extremadamente efectivos porque se basan en errores humanos en lugar de vulnerabilidades tecnológicas.

¿Cómo protegerte de este ataque?

Toma nota y evita caer en la trampa:

  • Si no sabes de dónde viene un código QR, no lo escanees. Punto.
  • Mira de vez en cuando los dispositivos vinculados en Signal y borra los que te huelan raro.
  • Activa el bloqueo de registro para evitar que te vinculen cosas sin tu permiso.
  • Mantén la app actualizada para no darle ventaja a los atacantes.
  • Desconfía de códigos QR en sitios web sospechosos, correos electrónicos inesperados o redes sociales.

Si recibes un código QR que supuestamente proviene de Signal o de alguien que conoces, verifica directamente con la persona o la fuente antes de escanearlo. Mejor prevenir que arrepentirse.

¿Por qué es tan grave?

Porque no necesitas ser un genio de la informática para caer en esto. Te mandan un QR con cualquier excusa, lo escaneas sin pensar y ya estás dentro de la trampa. Lo peor es que podrías pasarte semanas sin notar que tienes un intruso en tus conversaciones.

Además, este tipo de ataques abre la puerta a otras amenazas. Un ciberdelincuente con acceso a tus mensajes puede usar la información recopilada para phishing más avanzado, chantaje o incluso robo de identidad. Si tus mensajes contienen datos sensibles, la situación puede escalar rápidamente.

Mantente alerta

Esto es otro recordatorio de que la ciberseguridad no es solo cosa de frikis con gafas de pasta. Si usas Signal, es porque te importa la privacidad, así que actúa en consecuencia. Revisa tus dispositivos, ponle candado a tu cuenta y no confíes en códigos QR sospechosos. Signal sigue siendo de lo más seguro, pero ni la mejor tecnología te protege de un despiste.

Recuerda: la seguridad empieza por ti. Si te llega un código QR inesperado, pregúntate dos veces antes de escanearlo. Tu privacidad está en juego.

Scroll al inicio