Una nueva campaña de ciberataques está poniendo en jaque la seguridad de WhatsApp al explotar una de sus funciones legítimas. Se trata de GhostPairing, una técnica de ingeniería social que no necesita malware, robo de contraseñas ni duplicación de tarjeta SIM. El truco es mucho más sutil: el propio usuario, sin saberlo, autoriza el acceso del ciberdelincuente a su cuenta desde un navegador externo.
Investigadores de seguridad advierten que este método está siendo utilizado para secuestrar cuentas completas de WhatsApp y propagarse rápidamente entre contactos de confianza.
¿Qué es GhostPairing y por qué es tan peligroso?
GhostPairing —o emparejamiento fantasma— es un ataque que abusa del sistema de vinculación de dispositivos de WhatsApp, el mismo que permite usar la app en WhatsApp Web o en computadoras con Windows sin necesidad de tener el teléfono cerca.
Te podría interesar
La clave del ataque es que WhatsApp no detecta la intrusión como maliciosa, ya que, técnicamente, la cuenta fue vinculada siguiendo los pasos oficiales del servicio. Para la plataforma, todo parece normal.
El anzuelo: un mensaje aparentemente inofensivo
El ataque comienza con un mensaje que llega desde un contacto conocido. El texto suele ser breve y creíble: alguien dice haber encontrado una fotografía en la que aparece la víctima y comparte un enlace para verla.
Te podría interesar
Al hacer clic, el usuario es redirigido a una página falsa que imita el inicio de sesión de Facebook o servicios asociados, diseñada para generar confianza y reducir sospechas.
Así se produce el emparejamiento fantasma de WhatsApp
En el sitio fraudulento, se solicita al usuario ingresar su número de teléfono. Luego, se le pide confirmar el acceso escaneando un código QR o, más comúnmente, introduciendo un código numérico.
Estos pasos no roban credenciales ni contraseñas. En realidad, guían a la víctima a vincular su cuenta de WhatsApp con un navegador controlado por el atacante, utilizando una función oficial de la aplicación.
WhatsApp permite enlazar una cuenta principal con hasta cuatro dispositivos adicionales. GhostPairing explota exactamente esa puerta.
El atacante entra… y WhatsApp no lo detecta
Una vez completado el proceso, el ciberdelincuente obtiene acceso total a WhatsApp Web desde su propio navegador, mientras la cuenta original sigue funcionando en el teléfono de la víctima.
Para los sistemas de WhatsApp, fue el propio usuario quien añadió un nuevo dispositivo. De ahí el nombre del ataque: un emparejamiento invisible, silencioso y difícil de detectar.
¿Qué puede hacer un hacker con tu WhatsApp vinculado?
Con el acceso activo, el atacante puede utilizar prácticamente todas las funciones de WhatsApp Web. Esto incluye leer conversaciones antiguas, recibir mensajes en tiempo real, descargar documentos, fotos y videos, y enviar mensajes a nombre de la víctima.
Este último punto es clave, ya que permite que el ataque se propague. El ciberdelincuente puede escribir a otros contactos con el mismo mensaje del “archivo” o la “fotografía”, aumentando el alcance de la campaña.