- Nueva campaña de ciberataques usa la función multidispositivo de WhatsApp para tomar cuentas sin robar contraseñas ni clonar la SIM.
- El engaño comienza con un mensaje de un contacto conocido que invita a ver una supuesta foto y redirige a una falsa página de inicio de sesión.
- La víctima, sin darse cuenta, vincula su propia cuenta de WhatsApp Web en el navegador controlado por el atacante.
- Gen Digital alerta de que apenas hay avisos visibles para el usuario y recomienda revisar dispositivos vinculados y desconfiar de enlaces inesperados.
Una nueva oleada de ciberataques está poniendo el foco en las cuentas de WhatsApp de usuarios en Europa y, muy especialmente, en España, aprovechando funciones legítimas de la propia aplicación. La técnica, bautizada como GhostPairing («emparejamiento fantasma»), permite que un tercero se quede con el control de la cuenta sin necesidad de robar la contraseña ni duplicar la tarjeta SIM.
El ataque se apoya por completo en mecanismos oficiales de acceso multidispositivo de WhatsApp Web y WhatsApp para escritorio, de modo que, a ojos de la plataforma, es el propio titular de la cuenta quien está autorizando el nuevo acceso. Esta característica lo convierte en un fraude especialmente silencioso, difícil de detectar a simple vista y capaz de extenderse con rapidez entre contactos de confianza.
Qué es exactamente GhostPairing
Los investigadores de la empresa de ciberseguridad Gen Digital han descrito GhostPairing como una campaña que abusa del sistema de vinculación de dispositivos de WhatsApp para abrir sesiones en navegadores controlados por ciberdelincuentes. En lugar de explotar una vulnerabilidad técnica clásica, se sirve de la forma habitual en que los usuarios conectan su cuenta al ordenador.
WhatsApp permite actualmente utilizar la misma cuenta en el móvil y hasta cuatro dispositivos adicionales, ya sea a través de WhatsApp Web o de la aplicación para Windows. Esta función está pensada para facilitar el uso cotidiano, pero GhostPairing la convierte en la puerta de entrada perfecta: el atacante hace que el usuario, sin sospecharlo, complete el proceso de emparejamiento con el navegador del propio delincuente.
El nombre de la campaña no es casual. Hace referencia a que se produce un “emparejamiento fantasma” de la cuenta: a nivel técnico todo parece correcto, la vinculación se realiza desde el teléfono legítimo y a través de los canales oficiales, pero en realidad quien se beneficia es un tercero que permanece oculto tras el navegador donde se inicia sesión.
Según el análisis difundido por Gen Digital y replicado por diversos medios europeos, no hay robo de credenciales ni interceptación de SMS, algo habitual en otros fraudes. El éxito del ataque descansa casi por completo en el engaño al usuario y en la confianza que este deposita en sus contactos y en las interfaces que reconoce como familiares.
Cómo empieza el fraude: el mensaje de la foto
El punto de partida de GhostPairing suele ser un mensaje que llega desde uno de los contactos reales de la víctima a través de WhatsApp, lo que le da una capa adicional de credibilidad. El texto avisa de que se ha encontrado una fotografía en la que supuestamente aparece la persona y se acompaña de un enlace para que pueda comprobarlo.
Ese enlace no lleva a la típica vista previa de imagen, sino que abre en el navegador una página que imita el inicio de sesión de Facebook con bastante fidelidad. El objetivo es sencillo: aprovechar que el usuario reconoce tonos, logos y diseños similares a los de redes sociales conocidas para que no se plantee demasiadas dudas.
En esta página falsa se pide al usuario que introduzca su número de teléfono, un dato que, por sí solo, no dispara muchas alarmas, ya que se asocia a menudo con registros en servicios de mensajería. Tras esta primera acción, se le instruye para que complete un proceso de verificación vinculando su cuenta de WhatsApp mediante el escaneo de un código QR o, con más frecuencia, escribiendo un código numérico.
Los atacantes, según detalla Gen Digital, prefieren el método del código numérico porque reproduce de forma más natural los pasos de un registro en línea y es menos evidente que se está iniciando una sesión de WhatsApp Web. A la víctima se le presenta todo como si estuviera confirmando su acceso a una plataforma conocida, por lo que muchos usuarios siguen las instrucciones sin pensárselo demasiado.
Aunque desde el punto de vista del usuario parezca un trámite rutinario para ver una imagen, en realidad está completando la vinculación de su cuenta de WhatsApp con el navegador del ciberdelincuente. En ese preciso instante, el atacante consigue una sesión plenamente funcional, sin necesidad de tocar el teléfono ni de intervenir en sistemas externos.
Vinculación silenciosa y falta de avisos
El corazón de este esquema está en que la vinculación se realiza a través de los canales oficiales de WhatsApp. La aplicación considera que es el propio usuario quien está añadiendo un nuevo dispositivo, porque todo parte de su terminal y se completa con las opciones previstas por la compañía para el uso multidispositivo.
Una vez finalizado el emparejamiento, el navegador manejado por el atacante queda autenticado como un cliente más de WhatsApp Web. El propietario legítimo, en la mayoría de los casos, no recibe alertas llamativas ni mensajes que indiquen que hay un nuevo dispositivo vinculado, algo que, según el informe de Gen Digital, contribuye a que la intrusión pueda mantenerse activa durante largos periodos.
Este contexto hace que GhostPairing suponga un reto tanto para los sistemas automatizados de detección como para los propios usuarios. Al no haber robo de contraseñas, ni interrupción de SMS, ni cambios notorios en la configuración de seguridad, el ataque se camufla entre las rutinas diarias de uso de la aplicación.
Los especialistas apuntan que en Europa y España cada vez es más habitual trabajar y comunicarse desde varios dispositivos a la vez, lo que normaliza que el usuario vea su sesión abierta en diferentes entornos. Esto reduce aún más la probabilidad de que sospeche de una vinculación adicional, sobre todo si nunca revisa el listado de equipos conectados a su cuenta.
Desde Gen Digital se subraya que la discreción con la que se lleva a cabo el fraude es uno de los factores clave de su efectividad. El atacante puede operar la cuenta durante un tiempo prolongado sin levantar sospechas, mientras explora contactos, conversaciones y posibles nuevas víctimas dentro de la red de confianza del usuario afectado.
Qué puede hacer el atacante al tomar tu cuenta de WhatsApp
Una vez consolidada la sesión en WhatsApp Web, el ciberdelincuente tiene en su navegador prácticamente las mismas posibilidades que el titular de la cuenta disfruta en su propio dispositivo. El acceso incluye chats activos, conversaciones archivadas y el historial de mensajes acumulado con el paso del tiempo.
El intruso puede, además, recibir en tiempo real todos los mensajes que lleguen a la cuenta, leer el contenido de grupos, descargar documentos, imágenes, vídeos y otros archivos que se compartan a través de la aplicación. Todo este tráfico pasa a estar disponible desde el dispositivo remoto sin que el usuario vea necesariamente nada raro en su móvil.
Otra de las capacidades más delicadas es la de enviar mensajes haciéndose pasar por la víctima, aprovechando la agenda de contactos ya guardada. A partir de ahí, el atacante puede replicar el mismo mensaje fraudulento de la fotografía, ampliando la campaña a nuevos destinatarios y alimentando un efecto dominó.
Esta combinación de lectura y envío de mensajes facilita que se construyan cadenas de engaños muy difíciles de cortar. Los contactos que reciben el aviso de la supuesta foto proceden de alguien de confianza y, aunque el tono pueda resultar algo extraño, muchos no cuestionan su autenticidad, sobre todo si la conversación previa con esa persona era fluida.
Gen Digital advierte de que, más allá de la exposición de conversaciones privadas, el control remoto de la cuenta puede utilizarse para otros fines: desde intentar fraudes económicos, pasando por el envío masivo de enlaces maliciosos, hasta la recopilación de información sensible que pueda aprovecharse en ataques dirigidos posteriores.
Por qué no hace falta robar contraseñas ni clonar la SIM
Uno de los elementos más llamativos de GhostPairing es que no se apoya en las tácticas clásicas de robo de credenciales, como el phishing directo de contraseñas o la captura de códigos de verificación enviados por SMS. Tampoco necesita duplicar la tarjeta SIM del usuario, un método habitual en otras estafas relacionadas con la mensajería.
La clave está en que el atacante induce al usuario a autorizar de forma completamente legítima una nueva sesión. Al seguir las instrucciones de la página falsa, el propio afectado completa los pasos necesarios para que el navegador controlado por el delincuente quede emparejado con su cuenta de WhatsApp, sin que nadie tenga que intervenir en la red móvil ni en el sistema operativo.
Al no haber robo directo de contraseñas ni interceptación de comunicaciones, los mecanismos de seguridad tradicionales tienen poco margen de actuación. No se generan las señales típicas de una intrusión —como inicios de sesión desde ubicaciones inusuales detectadas por contraseñas incorrectas— y la actividad se camufla en el uso diario.
Los expertos detallan que esta modalidad de ataque se encuadra en lo que se conoce como ingeniería social, es decir, el arte de manipular a la víctima para que realice por su cuenta las acciones que el atacante necesita. En lugar de explotar un fallo técnico, se explota la confianza y la falta de sospecha ante lo que parece un proceso normal.
Este enfoque plantea un desafío adicional para usuarios y empresas, especialmente en Europa, donde las políticas de protección de datos son estrictas pero el eslabón más débil sigue siendo el comportamiento humano. La tecnología puede ayudar a mitigar riesgos, pero buena parte de la defensa depende de la capacidad de reconocer patrones de engaño como los que emplea GhostPairing.
Impacto en usuarios de España y Europa
Aunque la campaña descrita por Gen Digital no se limita a un país concreto, el patrón encaja con el uso intensivo de WhatsApp en España y en buena parte de Europa, donde la aplicación se ha convertido en el principal canal de comunicación personal y profesional para millones de personas.
En este contexto, tomar el control de una cuenta no es solo un problema de privacidad, sino también un potencial riesgo reputacional y económico. Empresas, autónomos y administraciones que utilizan WhatsApp para coordinarse con clientes o ciudadanos pueden ver comprometidas conversaciones sensibles o incluso ser víctimas de suplantaciones de identidad a través de sus propios números.
El modelo de propagación de GhostPairing se beneficia de las fuertes redes de confianza que se forman en grupos familiares, de trabajo o de amigos. Un mensaje que llega del padre, de un compañero de oficina o de un responsable de equipo tiene muchas más probabilidades de ser abierto que uno procedente de un número desconocido.
Además, en entornos donde la mensajería se utiliza para compartir documentos, presupuestos, datos personales o información de acceso a servicios, el atacante se encuentra con un entorno rico en posibles objetivos. La exposición se multiplica si, desde la cuenta secuestrada, se lanzan nuevas oleadas de enlaces maliciosos a otras plataformas.
Todo ello ocurre en un escenario donde la conciencia sobre ciberseguridad sigue siendo desigual. Mientras algunos usuarios revisan con frecuencia sus ajustes de privacidad y desconfían de enlaces sospechosos, otros tienden a pulsar sin pensar demasiado, especialmente cuando la petición parece venir de alguien cercano.
Cómo proteger tu cuenta frente a GhostPairing
Los especialistas consultados por Gen Digital insisten en que la mejor defensa frente a GhostPairing pasa por cambiar ciertos hábitos de uso de WhatsApp y de la navegación en general, más que por depender únicamente de herramientas técnicas. El primer consejo es desconfiar sistemáticamente de mensajes que inviten a pulsar en enlaces externos, incluso si proceden de contactos habituales.
Ante cualquier aviso sobre supuestas fotos comprometedoras, sorteos, cupones o promociones inesperadas, conviene detenerse un momento y comprobar el contexto. Si el mensaje resulta inusual, lo recomendable es contactar con la persona por otro canal o llamarla directamente para confirmar si realmente lo ha enviado o si su cuenta podría haber sido comprometida.
Otra medida básica es revisar con regularidad la lista de dispositivos vinculados a la cuenta de WhatsApp y poner clave a WhatsApp. Desde el propio menú de la aplicación es posible ver en qué equipos está abierta la sesión y cerrar aquellos que resulten sospechosos o que ya no se utilicen. Esta práctica, poco extendida entre los usuarios, ayuda a cortar accesos indebidos que puedan haberse colado sin ser detectados.
También se recomienda tener especial cuidado con las páginas que imitan interfaces de redes sociales o servicios conocidos. Fijarse en la dirección web, evitar introducir datos sensibles en sitios que llegan a través de enlaces no solicitados y acceder siempre escribiendo la URL directamente en el navegador reduce de forma significativa las probabilidades de caer en trampas de este tipo.
Por último, los expertos ponen el acento en la necesidad de formación continua en ciberseguridad, tanto para usuarios particulares como para empresas. Entender cómo funcionan campañas como GhostPairing, qué señales pueden delatar un engaño y qué opciones ofrece la propia configuración de WhatsApp para controlar los accesos son pasos clave para disminuir el impacto de este tipo de ataques en España y el resto de Europa.
La campaña GhostPairing ilustra hasta qué punto los ciberdelincuentes son capaces de transformar funciones legítimas en vectores de ataque, apoyándose en la ingeniería social y en la confianza entre contactos para pasar desapercibidos. Mantenerse vigilante ante mensajes inusuales, revisar los dispositivos emparejados y adoptar rutinas de comprobación antes de seguir enlaces o compartir datos se ha convertido en una pieza esencial para preservar la privacidad y el control de las cuentas de WhatsApp en el día a día.
