.png)
Una nueva amenaza de seguridad cibernética está poniendo en riesgo a usuarios de WhatsApp en todo el mundo. La campaña conocida como GhostPairing aprovecha una función legítima de la aplicación para tomar control de cuentas sin necesidad de robar contraseñas, códigos de verificación (OTP) ni realizar un cambio de SIM.
¿Qué es GhostPairing?
GhostPairing —también llamado “emparejamiento fantasma”— es un ataque de ingeniería social que explota la funcionalidad de WhatsApp que permite vincular la cuenta con varios dispositivos (como WhatsApp Web). En lugar de estar basado en vulnerabilidades de software, el método engaña al usuario para que autorice sin darse cuenta el acceso de un navegador controlado por un atacante.
¿Cómo comienza el ataque?
La campaña inicia con un mensaje aparentemente inocente proveniente de un contacto conocido. Por ejemplo:
“Hey, encontré esta foto tuya…”
y un enlace adjunto. Al hacer clic, la víctima es redirigida a una página falsa que imita plataformas confiables (por ejemplo, un visor de fotos con estilo de Facebook). Allí se le pide verificar su número de teléfono y completar un proceso que parece legítimo.
Esta secuencia en realidad desencadena el flujo oficial de emparejamiento de dispositivos de WhatsApp. Si la víctima ingresa el código o sigue las instrucciones, el atacante obtiene acceso completo a la cuenta desde su propio navegador.
¿Qué puede hacer un hacker con tu cuenta comprometida?
Una vez que el dispositivo del atacante está vinculado, este puede:
-
Leer todos tus mensajes y archivos multimedia sincronizados.
-
Recibir nuevos mensajes en tiempo real.
-
Enviar mensajes usando tu identidad.
-
Acceder a chats y grupos sin que la víctima se dé cuenta.
Lo más alarmante es que el WhatsApp del teléfono de la víctima sigue funcionando normalmente, lo que dificulta detectar inmediatamente que la cuenta fue comprometida.
Por qué GhostPairing es especialmente peligroso
Especialistas en ciberseguridad y autoridades, como el CERT-In de India, han calificado este método como de alta gravedad porque:
-
No requiere contraseñas ni códigos de verificación.
-
Se basa en la confianza entre contactos.
-
Usa funciones legítimas de la app tal como fueron diseñadas.
-
Puede propagarse rápidamente a través de mensajes a contactos y grupos.
¿Cómo proteger tu cuenta?
Los expertos recomiendan:
-
No hacer clic en enlaces sospechosos, aunque provengan de personas conocidas.
-
Verificar siempre los URLs antes de ingresar información.
-
Revisar periódicamente los dispositivos vinculados en WhatsApp → Ajustes → Dispositivos vinculados y retirar los que no reconozcas.
-
Activar la verificación en dos pasos desde la configuración de WhatsApp.
Recomendación Educatic
Las amenazas de ingeniería social como GhostPairing demuestran que la seguridad digital comienza con hábitos seguros de uso. Antes de ingresar códigos o permitir vinculación de dispositivos, detente y verifica la autenticidad de las solicitudes. Nunca ingreses datos personales a páginas que imitan interfaces oficiales.
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
