Un solo código QR da acceso a cámara, micrófono y ubicación: nueva campaña en WhatsApp convierte el teléfono en un dispositivo espía
Ciberdelincuentes aprovecharon una vulnerabilidad en la función de enlace de dispositivos de WhatsApp para apoderarse de cuentas.
Todo empezó con un mensaje en WhatsApp. El activista iraní Nariman Gharib, que vive en el Reino Unido, recibió un enlace supuestamente a una reunión y decidió advertir a otros. Publicación con capturas de pantalla difuminadas atrajo rápidamente la atención, porque detrás de ese tipo de señuelo normalmente no está el spam, sino una caza dirigida a personas concretas.
Por según TechCrunch, el enlace ocultaba una cadena de phishing diseñada para usuarios, de una u otra forma vinculados con Irán y con las protestas. La campaña se desplegó en un contexto de restricciones de comunicación en el país y de un agravamiento del enfrentamiento en el ciberespacio, donde los grupos iraníes y proiraníes llevan tiempo considerándose muy activos.
El análisis del enlace original permitió obtener el código fuente de la página falsa. Los atacantes intentaron no solo extraer nombres de usuario y contraseñas de Gmail y otros servicios, sino también interceptar cuentas de WhatsApp. Además, el código insinuaba un intento de vigilancia mediante acceso a la geolocalización, la cámara y el micrófono.
El truco clave empezaba con un dominio en DuckDNS. Este es un servicio de DNS dinámico que permite asignar una dirección fácil de recordar a un servidor cuyo IP puede cambiar con frecuencia. En pocas palabras, el enlace parecía más verosímil y era más difícil de rastrear que una dirección directa. A su vez, la propia infraestructura de phishing, según los datos de los investigadores, estaba vinculada al dominio alex-fabow.online, registrado a principios de noviembre de 2025. Aparecían dominios parecidos que se hacían pasar por servicios de reuniones virtuales, por ejemplo meet-safe.online y whats-login.online.
Enlace de phishing (@NarimanGharib)
El propio guion se adaptaba a la víctima. A algunos les mostraba una página de inicio de sesión falsa de Gmail, a otros les pedía que introdujeran el número de teléfono, y luego, paso a paso, extraía la contraseña y el código de autenticación de dos factores. Todo estaba dispuesto de forma que el sitio registraba cada acción del usuario, incluidos los errores al teclear, lo que aumentaba considerablemente la probabilidad de obtener la combinación correcta.
Lo más preocupante es que el servidor de los atacantes estaba configurado con un error grave. TechCrunch descubrió que en él se podía ver un archivo con los registros de las respuestas de las víctimas, y el acceso no estaba protegido por contraseña. En ese conjunto había más de 850 entradas, incluidas las credenciales introducidas, las contraseñas y los códigos 2FA. Por los datos del agente de usuario se aprecia que el ataque se realizó simultáneamente contra Windows, macOS, iPhone y Android.
Entre los afectados hubo personas difíciles de considerar objetivos al azar. En los registros aparecían un académico que investiga seguridad nacional, el director de un fabricante israelí de drones, un ministro libanés de alto rango, al menos un periodista, así como usuarios en EE. UU. o con números estadounidenses. Sin embargo, los casos confirmados de compromisos exitosos vinculados a esos registros fueron relativamente pocos: se habló de decenas y, probablemente, menos de 50 personas. Eso no descarta que hubiera más víctimas reales; simplemente no todas aparecían en el conjunto de datos descubierto.
Una rama separada del ataque estaba orientada a capturar cuentas de WhatsApp. En la variante que vio Gharib se abría una página con el estilo de WhatsApp y un código QR. El señuelo parecía una invitación a una sala virtual, pero en realidad debía hacer que la persona vinculara su cuenta al dispositivo del atacante mediante la función de vinculación de dispositivos. Es una técnica conocida que antes se había usado contra usuarios de otros mensajeros.
Los scripts podían solicitar al navegador permiso para rastrear la geolocalización y también acceso a fotos y audio. Si la víctima aceptaba, las coordenadas se enviaban a los atacantes y se actualizaban cada pocos segundos mientras la pestaña permaneciera abierta. La cámara y el micrófono también podían activarse en serie, tomando fotografías y grabaciones breves. En los datos publicados, TechCrunch no detectó fotos, audio ni coordenadas ya recolectados, pero la propia posibilidad aparecía en el código.
Quién estaba detrás de la campaña no está claro. Expertos señalaron que el ataque se parece a un phishing dirigido, que suelen asociar con las estructuras iraníes, y enumeraron indicios como el alcance internacional, el robo de credenciales y el uso activo de WhatsApp. Por otra parte, un investigador de DomainTools que analizó los dominios consideró que la infraestructura se asemeja más a una operación de ciberdelincuencia con motivación financiera. Existe una tercera versión: que actores estatales pudieron emplear a grupos criminales como contratistas para dificultar vincular directamente el ataque con el autor del encargo.
El propio sitio de phishing ya había dejado de abrirse al publicarse la investigación. Pero la historia recuerda de nuevo algo sencillo, que funciona especialmente mal en los mensajeros, donde estamos acostumbrados a confiar en los mensajes. Es más seguro considerar sospechosos los enlaces a reuniones, inicios de sesión y confirmaciones que llegan de forma inesperada, incluso si parecen convincentes.