GhostPairing, el nuevo ataque digital que roba cuentas de WhatsApp sin necesidad de duplicar la SIM

Una nueva campaña de ciberataques está poniendo en riesgo las cuentas de WhatsApp de miles de usuarios mediante una técnica conocida como GhostPairing, un método que permite a los delincuentes tomar el control de la aplicación sin robar contraseñas ni duplicar tarjetas SIM. A diferencia de otros fraudes digitales, en este caso es la propia víctima quien, sin saberlo, autoriza el acceso del atacante al vincular su cuenta con un navegador externo controlado por terceros.

Según explican investigadores de seguridad de Gen Digital, el ataque se apoya en una función legítima de WhatsApp: la posibilidad de vincular la cuenta principal a otros dispositivos, como WhatsApp Web o la aplicación para Windows. Esta herramienta, pensada para facilitar el acceso desde varios equipos, se convierte en el punto débil que los ciberdelincuentes están explotando con ingeniería social.

El engaño comienza con un mensaje aparentemente inofensivo que llega desde un contacto conocido de la víctima. En el texto, el remitente asegura haber encontrado una fotografía en la que aparece la persona y le invita a revisar el contenido a través de un enlace. El tono del mensaje suele ser informal y creíble, lo que reduce las sospechas iniciales y aumenta la probabilidad de que el usuario haga clic.

Al acceder al enlace, la víctima es redirigida a una página que imita la apariencia de una pantalla de inicio de sesión de Facebook. Allí se le solicita que introduzca su número de teléfono. Tras este paso, el sitio pide confirmar el acceso escaneando un código QR con WhatsApp o ingresando un código numérico enviado al dispositivo. Aunque ambas opciones existen de forma legítima, los investigadores señalan que el método del código numérico es el más utilizado en esta campaña.

Lo que el usuario no percibe es que, al completar estos pasos, está siguiendo exactamente el proceso de vinculación de dispositivos de WhatsApp. De manera involuntaria, está autorizando que su cuenta se conecte a un nuevo navegador, que en realidad pertenece al ciberdelincuente. Para WhatsApp, la acción es completamente válida: el sistema interpreta que el propietario de la cuenta ha añadido un nuevo dispositivo de forma consciente.

Este mecanismo es el que da nombre al ataque: GhostPairing o “emparejamiento fantasma”. A ojos del usuario no ocurre nada extraño de inmediato, ya que su aplicación sigue funcionando con normalidad en el teléfono. Sin embargo, en segundo plano, el atacante ya tiene acceso a la cuenta a través de WhatsApp Web.

Una vez dentro, el ciberdelincuente obtiene prácticamente las mismas capacidades que cualquier usuario legítimo desde un navegador. Puede leer el historial de conversaciones, recibir mensajes en tiempo real, descargar documentos, imágenes y videos, y también enviar mensajes en nombre de la víctima. Esta última función es clave para expandir el ataque, ya que permite contactar a otros usuarios de la agenda con el mismo mensaje inicial de la “fotografía”, propagando la campaña de forma automática y creíble.

Uno de los aspectos más preocupantes de GhostPairing es que no requiere el robo de credenciales ni técnicas más sofisticadas como el SIM swapping. Todo se basa en el engaño y en el uso indebido de herramientas oficiales de la plataforma. Esto hace que el ataque sea más difícil de detectar, tanto para los usuarios como para los sistemas automáticos de seguridad.

Los expertos recomiendan extremar las precauciones ante mensajes inesperados que incluyan enlaces, incluso si provienen de contactos conocidos. Además, es fundamental revisar periódicamente la sección de dispositivos vinculados dentro de WhatsApp, donde se puede comprobar si existe algún acceso no reconocido y cerrar sesiones sospechosas de inmediato.

GhostPairing demuestra, una vez más, que la mayor vulnerabilidad no siempre está en la tecnología, sino en la confianza del usuario.