WhatsApp en peligro: así son los nuevos ‘hackeos’ sin necesidad de robar contraseñas o duplicar la SIM

Nuevo método GhostPairing pone en riesgo millones de cuentas de WhatsApp sin robar contraseñas

Archivo – WhatsApp en el buscador de Google, a 25 de marzo de 2024, en Madrid (España).

Por
Comentarios Comentarios
Comentarios

La sensación de seguridad asociada a WhatsApp vuelve a ponerse en cuestión tras la detección de una nueva campaña de fraude que permite a los ciberdelincuentes tomar el control de cuentas sin vulnerar contraseñas ni recurrir al clásico duplicado de la tarjeta SIM. El método, conocido como GhostPairing, aprovecha funciones legítimas de la propia aplicación para engañar al usuario y acceder a su información personal y a sus conversaciones.

Organizaciones de consumidores como Facua han alertado de que este tipo de ataques suponen un salto cualitativo en el fraude digital, ya que explotan la confianza del usuario y la normalización del uso de herramientas como WhatsApp Web o las aplicaciones de escritorio. El riesgo, subrayan, no está en un fallo técnico evidente, sino en la ingeniería social que empuja a la víctima a facilitar el acceso sin ser consciente de ello.

Este nuevo escenario obliga a extremar la precaución en el uso cotidiano de la mensajería instantánea, especialmente cuando los mensajes llegan de contactos conocidos. Según Facua, la clave del éxito de estas estafas es que no levantan sospechas inmediatas, ya que simulan interacciones habituales entre amigos, familiares o compañeros de trabajo.

GhostPairing: el engaño que convierte al usuario en cómplice involuntario

El ataque conocido como GhostPairing comienza de forma aparentemente inocente, con un mensaje enviado desde la cuenta de un contacto real. En ese texto, el ciberdelincuente asegura haber encontrado una fotografía en la que aparece la víctima y la invita a comprobarlo a través de un enlace, apelando a la curiosidad y a la urgencia emocional.

Al pulsar el enlace, el usuario es redirigido a una página que imita un entorno de inicio de sesión conocido, como el de Facebook. Allí se le solicita introducir su número de teléfono y, a continuación, confirmar el acceso escaneando un código QR o introduciendo un código numérico, un proceso que muchos usuarios asocian erróneamente a verificaciones rutinarias.

Facua advierte de que este paso es el punto crítico del fraude, ya que lo que realmente está haciendo la víctima es vincular su cuenta de WhatsApp a un dispositivo controlado por el atacante. Todo el proceso se apoya en funciones legítimas de la plataforma, lo que explica por qué no se produce ninguna alerta inmediata por parte de la aplicación.

El abuso de WhatsApp Web y la falsa sensación de normalidad

WhatsApp permite de forma oficial vincular una cuenta principal hasta con cuatro dispositivos adicionales, una función pensada para facilitar el acceso desde ordenadores o tablets sin depender constantemente del teléfono móvil. El problema, señalan expertos citados por Facua, es que esta herramienta se ha convertido en la puerta de entrada del fraude GhostPairing.

En esta modalidad de ataque, el ciberdelincuente utiliza WhatsApp Web o la versión de escritorio para emparejar su navegador con la cuenta de la víctima, haciéndolo pasar por un dispositivo autorizado. A ojos del sistema, es el propio usuario quien ha concedido el permiso, aunque no sea consciente de ello.

Una vez completado el emparejamiento fantasma, el atacante obtiene acceso pleno a la cuenta, con las mismas capacidades que tendría cualquier usuario desde WhatsApp Web. Facua subraya que esta normalidad aparente es lo que convierte a GhostPairing en una amenaza especialmente peligrosa, ya que puede pasar semanas sin ser detectada.

Whatsapp puede capturar información de los usuarios a través del móvil. Foto: Pixabay.
Whatsapp puede capturar información de los usuarios. Foto: Pixabay.

Qué puede hacer el ciberdelincuente con una cuenta intervenida

Con el control de la cuenta, el atacante puede leer el historial de conversaciones, recibir mensajes en tiempo real y descargar documentos, fotos y vídeos compartidos con la víctima. Esto supone una grave vulneración de la privacidad, especialmente cuando se trata de conversaciones personales o profesionales sensibles.

Además, el ciberdelincuente puede enviar mensajes en nombre del usuario, utilizando su agenda de contactos para expandir el ataque. De este modo, el fraude se replica en cadena, ya que los nuevos destinatarios confían en el remitente y son más propensos a pulsar enlaces sospechosos.

Facua alerta de que este tipo de accesos también facilita otras estafas derivadas, como solicitudes de dinero, suplantación de identidad o acceso a servicios externos vinculados al número de teléfono. Todo ello sin que la víctima haya perdido su móvil, su SIM o su contraseña.

La respuesta de los consumidores y las recomendaciones de Facua

Ante este nuevo escenario, Facua insiste en la necesidad de reforzar la educación digital y de desconfiar de cualquier enlace recibido, incluso cuando procede de un contacto conocido. La organización recuerda que ninguna plataforma solicita verificaciones urgentes a través de enlaces enviados por mensajes privados.

Entre las recomendaciones clave, Facua destaca revisar periódicamente los dispositivos vinculados a WhatsApp, una opción disponible en los ajustes de la aplicación. Desde ahí, el usuario puede cerrar sesiones desconocidas y recuperar el control de su cuenta en caso de sospecha.

Asimismo, la asociación reclama a WhatsApp mayores medidas de información y prevención, como avisos más claros cuando se vincula un nuevo dispositivo o alertas destacadas ante accesos inusuales. Según Facua, la protección del consumidor debe ir más allá de las herramientas técnicas y centrarse también en la claridad y la transparencia.

Un riesgo creciente en un entorno digital cada vez más complejo

El auge de ataques como GhostPairing refleja la evolución constante del fraude online, que ya no se basa únicamente en vulnerabilidades técnicas, sino en la manipulación del comportamiento humano. Los ciberdelincuentes adaptan sus métodos a los hábitos digitales cotidianos, haciendo cada vez más difícil distinguir una amenaza real.

Facua concluye que la prevención es la principal defensa, y que los usuarios deben adoptar una actitud crítica permanente frente a mensajes inesperados, incluso cuando parecen inocentes. La confianza, advierten, se ha convertido en el principal objetivo del fraude digital moderno.

Mientras tanto, este nuevo tipo de hackeo reabre el debate sobre la responsabilidad de las grandes plataformas tecnológicas y la necesidad de reforzar los mecanismos de protección del usuario en un entorno donde la mensajería instantánea es ya una herramienta esencial de la vida diaria.

Comenta el artículo
Alba Carbajal

Periodista, fotógrafa y amante de la música. Con un Máster en Periodismo Multimedia Profesional de la Universidad Complutense de Madrid en el bolsillo y ahora metida de lleno en el mundo de la investigación con un Doctorado en Lingüística, Literatura y Comunicación en la Universidad de Valladolid. ¡Siempre en busca de la próxima gran historia que contar! Contacto: acarbajal@economiadigital.es

Historias como esta, en su bandeja de entrada cada mañana.

O apúntese a nuestro  canal de Whatsapp

Más en

Deja una respuesta

Ahora en portada

SUSCRÍBETE A ECONOMÍA DIGITAL

Regístrate con tu email y recibe de forma totalmente gratuita las mejores informaciones de ECONOMÍA DIGITAL antes que el resto

También en nuestro canal de Whatsapp