GhostPairing: una estafa secuestra cuentas de WhatsApp sin robar contraseñas ni duplicar la SIM

Nuevas vulnerabilidades en auriculares Bluetooth permiten a atacantes secuestrar el smartphone conectado
30 de diciembre de 2025
Ver todo
GhostPairing

Una nueva campaña de fraude conocida como GhostPairing está permitiendo a atacantes tomar el control de cuentas de WhatsApp sin necesidad de robar contraseñas, interceptar códigos SMS ni clonar tarjetas SIM. El ataque se basa exclusivamente en ingeniería social y en el abuso de una funcionalidad legítima de la propia plataforma: la vinculación de dispositivos.

A diferencia de otros ataques, GhostPairing no explota vulnerabilidades técnicas ni requiere malware. El usuario es inducido a autorizar, sin saberlo, la vinculación de su cuenta a un dispositivo controlado por el atacante.

¿Cómo funciona el ataque?

El vector inicial suele ser un mensaje aparentemente legítimo, a menudo enviado desde una cuenta previamente comprometida de un contacto real:

  • “¿Eres tú en este vídeo?”
  • “Mira esta foto, creo que eres tú”
  • “¿Puedes revisar esto un momento?”

El enlace redirige a una página fraudulenta que simula ser un servicio de Meta, un visor multimedia o un portal de verificación.

En esa página, la víctima introduce su número de teléfono y sigue una serie de pasos que, en realidad, completan el proceso de vinculación de un nuevo dispositivo mediante WhatsApp Web o WhatsApp Desktop.

El atacante no necesita interceptar códigos SMS ni expulsar al usuario de su sesión principal: simplemente añade su propio dispositivo como secundario.

¿Qué consigue el atacante?

Una vez vinculada la cuenta, el atacante puede:

  • Leer conversaciones pasadas y futuras.
  • Acceder a archivos, imágenes y documentos compartidos.
  • Enviar mensajes en nombre de la víctima, facilitando la propagación del fraude.
  • Mantener acceso persistente mientras el dispositivo siga vinculado.

El usuario normalmente no nota nada extraño, ya que su WhatsApp sigue funcionando con normalidad.

¿Qué consigue el atacante?

Una vez vinculada la cuenta, el atacante puede:

  • Leer conversaciones pasadas y futuras.
  • Acceder a archivos, imágenes y documentos compartidos.
  • Enviar mensajes en nombre de la víctima, facilitando la propagación del fraude.
  • Mantener acceso persistente mientras el dispositivo siga vinculado.

El usuario normalmente no nota nada extraño, ya que su WhatsApp sigue funcionando con normalidad.

Por qué es especialmente peligroso

GhostPairing es difícil de detectar porque:

  • No hay robo visible de credenciales.
  • No hay alertas claras ni cierres de sesión.
  • No hay malware en el dispositivo.
  • No hay cambios aparentes en el comportamiento de la app.

Es un ejemplo clásico de cómo las funcionalidades legítimas pueden convertirse en vectores de ataque cuando se combinan con ingeniería social.

Cómo protegerse

Se recomienda:

  • Revisar periódicamente el apartado “Dispositivos vinculados” en WhatsApp y eliminar cualquier acceso desconocido.
  • Desconfiar de enlaces inesperados, incluso si proceden de contactos conocidos.
  • Activar la verificación en dos pasos en WhatsApp.
  • Cerrar todas las sesiones vinculadas si se sospecha compromiso.
  • Avisar a los contactos si se ha detectado uso indebido de la cuenta.

Artículos relacionados

29 de diciembre de 2025

Vulnerabilidad crítica en MongoDB (CVE-2025-14847) está siendo explotada activamente a nivel mundial

Leer más
25 de diciembre de 2025

Brushing: la estafa detrás de los paquetes que llegan sin solicitarlos

Leer más
23 de noviembre de 2025

Implementación de la Directiva Europea NIS2 en España: impacto normativo y técnico

Leer más
18 de noviembre de 2025

El auge de la piratería: por qué vuelve a máximos históricos

Leer más
16 de noviembre de 2025

Alerta: la clonación de voz ya se usa para atacar a los helpdesk corporativos

Leer más
23 de octubre de 2025

Satélites sin cifrar revelan secretos de la Guardia Nacional, la CFE, Telmex y más

Leer más