Una nueva campaña de fraude denominada GhostPairing está permitiendo a los atacantes tomar el control de cuentas de WhatsApp sin necesidad de robar contraseñas, interceptar códigos SMS ni clonar la tarjeta SIM. El ataque se basa en ingeniería social y en el abuso de la funcionalidad legítima de vinculación de dispositivos de la propia aplicación.
Investigadores de seguridad han alertado sobre una campaña de estafa conocida como GhostPairing, que explota la función oficial de “dispositivos vinculados” de WhatsApp para obtener acceso persistente a cuentas de usuarios de forma silenciosa.
A diferencia de otros ataques habituales contra servicios de mensajería, GhostPairing no requiere vulnerabilidades técnicas, malware ni acceso previo al dispositivo de la víctima. El éxito del ataque depende exclusivamente de engañar al usuario para que autorice, sin ser consciente de ello, la vinculación de su cuenta a un dispositivo controlado por el atacante.
El ataque suele comenzar con un mensaje aparentemente legítimo, a menudo enviado desde una cuenta previamente comprometida de un contacto conocido, que incluye un enlace con algún pretexto (“mira esta foto”, “¿eres tú en este vídeo?”). Dicho enlace dirige a una página fraudulenta que simula ser un servicio de Meta o un visor de contenidos.
En el proceso, la víctima introduce su número de teléfono y sigue unas instrucciones que, en realidad, completan el emparejamiento de un nuevo dispositivo mediante WhatsApp Web o la versión de escritorio. De este modo, el atacante obtiene acceso completo a la cuenta sin provocar alertas evidentes ni expulsar al usuario del dispositivo original.
Una vez vinculada la cuenta, el atacante puede:
- Leer conversaciones y acceder a archivos compartidos.
- Enviar mensajes en nombre de la víctima, facilitando la propagación del fraude.
- Mantener el acceso de forma persistente mientras el dispositivo malicioso siga vinculado.
- Este tipo de ataques pone de relieve los riesgos derivados del abuso de funcionalidades legítimas y la dificultad de mitigarlos únicamente con controles técnicos. La principal defensa sigue siendo la concienciación del usuario.
Como medidas de protección, se recomienda:
- Revisar periódicamente el apartado “Dispositivos vinculados” en WhatsApp y eliminar accesos sospechosos.
- Desconfiar de enlaces inesperados, incluso si proceden de contactos conocidos.
- Activar la verificación en dos pasos en la cuenta de WhatsApp.
- Cerrar inmediatamente todas las sesiones vinculadas si se sospecha un compromiso.
Más información:
- Una estafa permite hackear cuentas de WhatsApp sin SIM ni contraseña (GhostPairing) https://www.20minutos.es/tecnologia/ciberseguridad/estafa-whatsapp-ghostpairing-hackeo-cuentas-sin-sim-contrasena_6912464_0.html
- Antena 3 Noticias – Una campaña de ciberestafas toma el control de cuentas de WhatsApp mediante GhostPairing https://www.antena3.com/noticias/tecnologia/campana-ciberestafas-toma-control-cuentas-whatsapp-mediante-ataque-ghostpairing_2025121869444285ea66eb735317a7af.html
- Telecinco Noticias – Un nuevo fraude permite robar cuentas de WhatsApp sin robar contraseñas https://www.telecinco.es/noticias/ciencia-y-tecnologia/20251218/nuevo-virus-hackea-cuentas-whatsapp-robar-contrasena_18_017901586.html
