Una nueva amenaza digital sacude a los usuarios de WhatsApp. Se trata de GhostPairing, un ingenioso ataque que permite a los hackers apoderarse de cuentas sin necesidad de contraseñas. Este método se aprovecha de la función legítima de vinculación de dispositivos, transformándola en una puerta abierta al robo de datos y conversaciones privadas.
El ataque, detectado inicialmente en Europa Central, ya que esta propagando de forma global. Los expertos de ciberseguridad advierten que incluso los usuarios experimentados pueden caer en la trampa por la forma en que imita las funciones oficiales de la aplicación.
Cómo funciona el ataque GhostPairing en WhatsApp
A diferencia de otros fraudes, GhostPairing no explota fallos del sistema. En su lugar, abusa del proceso de vinculación de nuevos dispositivos para acceder a chats y archivos multimedia. Todo comienza con un mensaje de un contacto comprometido que incluye un enlace aparentemente inofensivo, como foto o publicaciones de facebook.
Cuando el usuario hace clic, es redirigido a una página de phishing que simula una verificación de edad o identidad. Según los informes de Gen Digital, allí se solicita el número de teléfono de la victima. En ese momento, los atacantes inician en segundo plano la vinculación de un nuevo dispositivo a la cuenta de whatsApp.
Los ciberdelincuentes aprovechan el proceso de emparejamiento legítimo de WhatsApp para tomar el control total de la cuenta sin robar contraseñas, advirtió Gen Digital.
Tras ingresar el número, el usuario recibirá un código legítimo de ocho dígitos de WhatsApp. Al introducirlo en el sitio falso, sin saberlo, autoriza el acceso al atacante. El nuevo dispositivo se vincula de forma automática, y los delincuentes obtienen acceso a todos los chats, archivos y contactos.
Ingeniería social y falta de atención: la combinación perfecta
El truco de la ingeniería social es tan convincente que muchos usuarios pasan por alto la notificación de vinculación que aparecen en la aplicación. Los hackers aprovechan esta distracción para sincronizar la cuenta en sus propios sistemas, permitiendo incluso que envíen mensajes desde la cuenta comprometida.
Además, este método elude parcialmente la verificación en dos pasos (2FA), ya que el proceso requiere acción directa del usuario. En la práctica, es la propia víctima quien autoriza el acceso creyendo que realiza una verificación legítima.
Cómo detectar y eliminar dispositivos vinculados en WhatsApp
Para protegerse del ataque GhostPairing, los expertos recomiendan revisar regularmente las sesiones activas:
- Abre Configuración → Dispositivos vinculados.
- Revisa los dispositivos conectados.
- Si aparece una sesión desconocida (por ejemplo, “Google Chrome – Windows”), ciérrala de inmediato.
Además, desconfía siempre de cualquier mensaje que solicite tu número de teléfono o código de verificación, WhatsApp nunca te pedirá estos datos por enlaces externos.
Activar la verificación en dos pasos sigue siendo una capa adicional útil, aunque limitada ante este tipo de ataque. La atención y el sentido común siguen siendo las mejores defensas.