Una nueva amenaza digital está poniendo en jaque la seguridad de millones de usuarios de WhatsApp. Se trata de GhostPairing, un ataque sofisticado que permite a los hackers tomar el control de cuentas sin necesidad de robar contraseñas ni vulnerar directamente el sistema.
Este método aprovecha una función legítima de la aplicación: la vinculación de dispositivos, convirtiéndola en una puerta de entrada para el robo de conversaciones privadas, archivos multimedia y contactos.
Detectado inicialmente en Europa Central, el ataque ya se está propagando de forma global. Expertos en ciberseguridad advierten que incluso usuarios experimentados pueden caer en la trampa, ya que el engaño imita de forma muy convincente las funciones oficiales de WhatsApp.
Cómo funciona el ataque GhostPairing en WhatsApp
A diferencia de otros fraudes digitales, GhostPairing no explota errores técnicos del sistema. En su lugar, se basa en ingeniería social y en el abuso del proceso oficial de emparejamiento de dispositivos.
El ataque comienza cuando el usuario recibe un mensaje de un contacto previamente comprometido. Este mensaje incluye un enlace que aparenta ser inofensivo, como una foto, un video o una supuesta publicación de Facebook.
Al hacer clic, la víctima es redirigida a una página de phishing que simula una verificación de edad o identidad. Según informes de la empresa de ciberseguridad Gen Digital, el sitio solicita el número de teléfono del usuario. En ese momento, los atacantes inician en segundo plano la vinculación de un nuevo dispositivo a la cuenta de WhatsApp.
El código legítimo que entrega el control al atacante
Tras ingresar el número, WhatsApp envía un código real de ocho dígitos al teléfono del usuario. Al introducirlo en el sitio falso, la víctima, sin saberlo, autoriza la vinculación del dispositivo del hacker.
El emparejamiento se completa automáticamente y los delincuentes obtienen acceso total a los chats, archivos, fotos, videos y contactos, pudiendo incluso enviar mensajes desde la cuenta comprometida.
Tal como advierten los expertos, el atacante no roba contraseñas: es el propio usuario quien concede el acceso creyendo que realiza una verificación legítima.
Ingeniería social y distracción: la combinación perfecta
El éxito de GhostPairing se basa en la distracción del usuario. Muchos ignoran o no prestan atención a la notificación de “nuevo dispositivo vinculado” que aparece en WhatsApp.
Además, este método puede eludir parcialmente la verificación en dos pasos (2FA), ya que el proceso requiere una acción directa del usuario. En la práctica, el sistema no falla: el engaño aprovecha la confianza y la falta de atención.
Cómo detectar y eliminar dispositivos vinculados en WhatsApp
Para protegerte del ataque GhostPairing, revisa regularmente las sesiones activas de tu cuenta:
- Abre WhatsApp
- Ve a Configuración → Dispositivos vinculados
- Revisa la lista de dispositivos conectados
- Si aparece una sesión desconocida (por ejemplo, “Google Chrome – Windows”), ciérrala de inmediato
Desconfía siempre de cualquier mensaje que solicite tu número de teléfono o código de verificación. WhatsApp nunca pide estos datos a través de enlaces externos.
Activar la verificación en dos pasos sigue siendo una capa adicional de seguridad, aunque la atención y el sentido común continúan siendo las mejores defensas frente a este tipo de ataques.
