Una nueva modalidad de ciberataque está afectando a usuarios de WhatsApp a través de un método llamado GhostPairing, que permite a los ciberdelincuentes tomar el control de cuentas sin necesidad de obtener contraseñas ni clonar la tarjeta SIM.
El ataque inicia con un mensaje que llega a la víctima desde uno de sus propios contactos, lo que le da apariencia de confianza. En el texto se le dice que aparece en una fotografía y se le comparte un enlace para que pueda verla. Al hacer clic, se abre una página falsa que simula ser el inicio de sesión de Facebook.
En ese sitio, se solicita al usuario su número de teléfono y posteriormente se le indica que escanee un código QR con WhatsApp o ingrese un código numérico. Este proceso, que simula un registro común, en realidad sirve para vincular su cuenta de WhatsApp con un navegador externo que está bajo control del atacante.
WhatsApp permite de forma legítima que una cuenta se vincule hasta en cuatro dispositivos diferentes sin necesidad de utilizar el celular principal. GhostPairing se aprovecha de esta función para emparejar la cuenta con un navegador del atacante, sin que la víctima lo note. Técnicamente, es el mismo usuario quien autoriza la conexión.
Una vez logrado el acceso, el atacante puede visualizar el historial de chats, recibir mensajes en tiempo real, descargar archivos, documentos y multimedia. También puede enviar mensajes utilizando la agenda de contactos de la víctima, reproduciendo el ataque a nuevos usuarios.
La empresa de ciberseguridad Gen Digital advirtió sobre esta amenaza, que no requiere acceso a credenciales ni a la tarjeta SIM, lo que la hace más difícil de detectar. Su nombre, GhostPairing, hace alusión al «emparejamiento fantasma» que el usuario autoriza sin saberlo.