Una estafa permite tomar el control de WhatsApp sin robar contraseñas
Una nueva campaña de fraude digital está permitiendo a ciberdelincuentes hacerse con el control de cuentas de WhatsApp sin necesidad de robar contraseñas ni duplicar tarjetas SIM. El ataque, conocido como GhostPairing o emparejamiento fantasma, se apoya en una función legítima de la propia aplicación de mensajería: la vinculación de dispositivos adicionales a una cuenta principal.
Según han explicado investigadores de la empresa de ciberseguridad Gen Digital, el ataque comienza con un mensaje que la víctima recibe desde la cuenta de uno de sus propios contactos. En el texto se le informa de que se ha encontrado una supuesta fotografía en la que aparece y se le invita a comprobarla a través de un enlace.
El uso de un contacto conocido es clave en esta fase inicial, ya que reduce las sospechas del usuario y aumenta la probabilidad de que pulse el enlace sin comprobar su procedencia. Ese primer mensaje, en muchos casos, ha sido enviado previamente por el propio ciberdelincuente tras acceder a la cuenta de otra víctima.
Al pinchar en el enlace, el usuario es redirigido a una página web que imita el aspecto de la pantalla de inicio de sesión de Facebook. En esa página se le solicita introducir su número de teléfono, paso tras el cual se le pide que confirme el acceso escaneando un código QR con WhatsApp o introduciendo un código numérico.
Aunque WhatsApp permite ambos métodos, los investigadores señalan que en esta campaña se utiliza de forma mayoritaria la opción del código numérico, por resultar más sencilla y menos sospechosa para el usuario medio. En ese momento, la víctima cree estar verificando su identidad para acceder a un contenido, cuando en realidad está autorizando la vinculación de un nuevo dispositivo a su cuenta.
Cómo se produce el control de la cuenta
Estos pasos reproducen exactamente el proceso oficial que WhatsApp ofrece para vincular la cuenta principal a otros dispositivos, como WhatsApp Web o la aplicación de WhatsApp para Windows. Esta función permite utilizar la cuenta en hasta cuatro dispositivos adicionales sin necesidad de que el teléfono principal esté conectado de forma permanente.
En el ataque GhostPairing, el ciberdelincuente aprovecha esa herramienta legítima para vincular la cuenta de la víctima a un navegador que controla él mismo. A ojos de WhatsApp, no se ha producido ninguna actividad fraudulenta, ya que la vinculación ha sido autorizada desde el propio teléfono del usuario.
De ahí el nombre del ataque: un emparejamiento “fantasma”, en el que la víctima no es consciente de haber dado acceso a un tercero. Una vez completado el proceso, el atacante puede abrir WhatsApp Web en su navegador y utilizar la cuenta con normalidad.
El acceso obtenido permite leer el historial de conversaciones, recibir mensajes en tiempo real, descargar documentos y archivos multimedia, así como enviar mensajes en nombre del usuario. De esta manera, el ciberdelincuente puede continuar expandiendo la estafa contactando con más personas de la agenda de la víctima.
Sin robo de credenciales ni duplicado de SIM
Uno de los aspectos que más preocupa a los expertos es que este ataque no requiere técnicas tradicionalmente asociadas al secuestro de cuentas, como el robo de contraseñas, el phishing clásico o el duplicado fraudulento de la tarjeta SIM. Todo el proceso se basa en el uso indebido de una función oficial y en la manipulación del propio usuario.
Los investigadores advierten de que este tipo de campañas refuerzan la necesidad de extremar la precaución ante enlaces recibidos por mensajería instantánea, incluso cuando proceden de contactos conocidos. También recomiendan revisar periódicamente los dispositivos vinculados a la cuenta de WhatsApp, una opción disponible en el menú de configuración de la aplicación.
