Los investigadores de seguridad de Avast han descubierto una nueva estafa de apropiación de cuentas de WhatsApp que no roba contraseñas, no rompe el cifrado ni se basa en el intercambio de tarjetas SIM. En su lugar, convence discretamente a los usuarios para que den acceso a los atacantes.
Lo llamamos ataque “GhostPairing”.
La estafa comienza con un mensaje que proviene de un contacto de confianza: “Hola, he encontrado tu foto”. Cuando los usuarios pulsan el enlace, se les muestra una página falsa al estilo de Facebook que les pide que “verifiquen" su identidad antes de ver la imagen. Lo que parece un paso de seguridad inofensivo es en realidad el propio flujo de vinculación de dispositivos de WhatsApp.
Al introducir un código de emparejamiento legítimo, las víctimas añaden sin saberlo el navegador del atacante como dispositivo vinculado, lo que permite a los delincuentes acceder de forma continua a mensajes, fotos y contactos, sin cambiar la contraseña ni bloquear el acceso del usuario a su cuenta.
Por qué es importante
- No se roban contraseñas: el ataque utiliza WhatsApp tal y como está diseñado, lo que dificulta su detección y reconocimiento por parte de los usuarios.
- El teléfono sigue funcionando con normalidad: las víctimas a menudo no se dan cuenta de que hay un segundo dispositivo conectado y vigilando las conversaciones en tiempo real.
- Se propaga a través de la confianza: las cuentas comprometidas envían mensajes a amigos, familiares y chats grupales, lo que permite que la estafa crezca de forma orgánica.
- Permite un fraude más profundo: el acceso a conversaciones privadas, notas de voz y fotos crea oportunidades para la suplantación de identidad, las estafas dirigidas y la extorsión.
Novedades
Esta campaña destaca un cambio creciente en la ciberdelincuencia: los atacantes ya no intentan romper los sistemas de seguridad. Están persuadiendo a las personas para que aprueben el acceso por sí mismas mediante el uso indebido de códigos QR, solicitudes de emparejamiento y flujos de “verificar en tu teléfono” que parecen rutinarios.
GhostPairing no es solo un problema de WhatsApp. Es una señal de advertencia para cualquier plataforma que se base en el emparejamiento rápido y de baja visibilidad de dispositivos.
Lo que los consumidores deben saber ahora mismo:
- Comprueba WhatsApp → Ajustes → Dispositivos vinculados y elimina cualquier elemento que no te resulte familiar.
- Considera sospechosa cualquier solicitud de un sitio web para escanear un código QR de WhatsApp o introducir un código de emparejamiento.
- Activa la verificación en dos pasos y comparte esta información con tu familia y en los chats grupales.
