Alerta WhatsApp: ciberdelincuentes secuestran cuentas sin robar contraseñas, interceptar códigos SMS ni clonar la tarjeta SIM
GhostPairing es un nuevo engaño que abusa de la vinculación de dispositivos en WhatsApp para secuestrar tu cuenta, leer tus chats en tiempo real y suplantar tu identidad.
Los ciberdelincuentes han cambiado de estrategia, y ahora ya no buscan romper sistemas con fuerza bruta o programas avanzados, sino explotar el eslabón más débil en la actualidad, que es la confianza de los usuarios.
Y, para ello, WhatsApp, al ser la herramienta de comunicación más usada, se ha convertido en el objetivo principal. Las estadísticas desvelan que uno de cada siete usuarios ha sufrido algún tipo de intento de estafas en esta app.
Cabe señalar que los delincuentes han abandonado casi por completo el malware en correos electrónicos para centrarse en la mensajería instantánea, donde la respuesta es más rápida y las defensas suelen estar más bajas.
Ante esto, han perfeccionado su puntería y han encontrado en el denominado GhostPairing su método más lucrativo. El uso de esta técnica se ha disparado recientemente porque ofrece resultados inmediatos con un esfuerzo mínimo.
Qué es el GhostPairing y por qué es tan peligroso
Es fundamental entender que esta amenaza no funciona como un virus o malware tradicional. El GhostPairing se basa en la ingeniería social y en el uso malintencionado de la función vinculación de dispositivos.
A diferencia de una amenaza como Albiriox —un virus para Android que también circula actualmente y que busca robar datos bancarios prometiendo apps falsas—, este no necesita instalar nada en el teléfono.
Su mecanismo es más sutil y peligroso por su sencillez, como lo es la confianza. El ataque comienza con un mensaje de alguien conocido (cuya cuenta ya ha sido comprometida) que invita a entrar en un enlace para ver una supuesta foto, participar en una votación o aprovechar una oferta.
Sin embargo, el enlace dirige a una web que imita ser oficial, pero allí, se pide al usuario que verifique su identidad, ya sea escaneando un código QR o introduciendo su número de teléfono.
Al completar ese paso, no se está verificando nada, sino lo que ocurre en segundo plano es que estás autorizando el inicio de sesión de WhatsApp Web en el ordenador del atacante.
Lo grave de este sistema es que no requiere robar la contraseña, ni interceptar los códigos SMS de verificación, ni clonar la tarjeta SIM. El propio usuario es quien, engañado, autoriza la conexión.
El control total y sus consecuencias
Una vez que el dispositivo del atacante está vinculado, este obtiene un acceso espejo a la cuenta. Puede leer el historial completo de conversaciones, acceder a archivos multimedia, escuchar audios y, lo más importante, suplantar la identidad de la víctima.
El fraude no suele detenerse en el espionaje. El objetivo es económico: usar la cuenta secuestrada para solicitar dinero a la lista de contactos (familiares o amigos) bajo pretextos de urgencia.
Es importante mencionar que, además, utilizan esa misma cuenta para reenviar el enlace malicioso a más personas, creando una cadena de infecciones difícil de detener. Por esta razón, los expertos en ciberseguridad afirman que el GhostPairing es una de las amenazas más peligrosas.
Cómo protegerte del GhostPairing
Frente a técnicas que no dependen de robar claves, la seguridad debe centrarse en la configuración de la propia aplicación y la medida más efectiva es activar la Verificación en Dos Pasos (2FA).
Esta función añade una capa extra de seguridad solicitando un PIN que solo el dueño de la cuenta conoce, lo que impide que un tercero pueda configurar la cuenta en otro terminal, incluso si consiguiera engañar al sistema inicial.
Paralelamente, es imprescindible revisar con frecuencia la pestaña de Dispositivos vinculados en los ajustes de WhatsApp. Si aparece cualquier sesión activa en un navegador o sistema operativo que no se reconoce (como un ordenador conectado a horas inusuales), debe cerrarse de inmediato.
Si te llega un mensaje raro pidiendo dinero o un enlace extraño, llama por teléfono a tu contacto. Escuchar la voz de la otra persona sigue siendo la forma más eficaz de desmontar cualquier estafa.