Qué es el ataque “GhostPairing” en WhatsApp y cómo proteger tu cuenta

Investigadores de seguridad han identificado una campaña de fraude digital que afecta a usuarios de WhatsApp, conocida como GhostPairing. Este ataque no requiere malware ni robo de contraseñas tradicionales, sino que se vale de una característica legítima de la aplicación para vincular dispositivos, engañando a la víctima para que autorice el acceso del atacante a su cuenta.

El método se basa en ingeniería social: el usuario recibe un mensaje aparentemente inofensivo —por ejemplo, con la promesa de mostrarle una fotografía o un contenido de interés— acompañado de un enlace que lleva a una página falsa que imita servicios oficiales, como el inicio de sesión de Facebook.

En esa página fraudulenta se pide al usuario introducir su número de teléfono y un código de verificación que WhatsApp envía como parte de su flujo legítimo de emparejamiento de dispositivos. Al seguir las instrucciones sin sospechar, la persona autoriza sin saberlo que el navegador del atacante se vincule a su cuenta de WhatsApp, otorgándole acceso completo al contenido y funciones del servicio, como leer y enviar mensajes, descargar archivos o ver conversaciones antiguas.

Este tipo de ataque es posible porque WhatsApp permite vincular hasta cuatro dispositivos a una misma cuenta para facilitar su uso en computadoras y navegadores. El problema surge cuando esa función es utilizada de manera maliciosa sin que el usuario se dé cuenta de que está validando el acceso de un tercero.

¿Cómo funciona GhostPairing?

1. El usuario recibe un enlace de un contacto conocido con un mensaje que parece legítimo.
2. Al hacer clic, se muestra una página falsa que simula servicios relacionados (como Facebook).
3. Se pide ingresar datos o un código de verificación de WhatsApp.
4. Sin saberlo, la víctima completa el proceso de emparejamiento y el atacante obtiene un “dispositivo vinculado” autorizado.

Una vez que un atacante tiene acceso, puede leer mensajes nuevos y antiguos, ver archivos multimedia, enviar mensajes en tu nombre y utilizar el acceso para propagar el mismo tipo de estafa entre tus contactos sin que WhatsApp lo detecte inmediatamente como malicioso.

Consejos para evitar caer en esta estafa

No sigas enlaces sospechosos, incluso si parecen venir de un contacto conocido. Siempre confirma directamente con la persona que te lo envió si realmente te lo mandó.

Activa la verificación en dos pasos en WhatsApp. Esto añade un PIN adicional que dificulta que un atacante tome control de tu cuenta mediante técnicas de ingeniería social.

Presta atención a las solicitudes de códigos o a la confirmación de emparejamiento de dispositivos. Nunca ingreses códigos de verificación sin estar seguro de por qué se te solicita.

Revisa regularmente los dispositivos vinculados: en WhatsApp ve a Ajustes → Dispositivos vinculados y elimina cualquier sesión que no reconozcas.

Comunica a tus contactos si crees que tu cuenta fue comprometida y pide que no abran mensajes ni enlaces sospechosos provenientes de tu número.

¿Qué hacer si crees que fuiste víctima?

Si sospechas que tu cuenta ha sido vinculada sin tu consentimiento:

1. Cierra todas las sesiones de dispositivos vinculados desde los ajustes de WhatsApp.
2. Cambia tu PIN de verificación en dos pasos o configúralo si aún no lo tienes.
3. Notifica a tus contactos para que ignoren cualquier mensaje extraño enviado desde tu cuenta.

El ataque “GhostPairing” demuestra cómo técnicas de ingeniería social pueden aprovechar funciones legítimas de aplicaciones populares para comprometer cuentas sin necesidad de software malicioso. La mejor defensa es la vigilancia activa del usuario, la educación sobre señales de fraude y el uso de medidas de seguridad adicionales como la verificación en dos pasos.