Una nueva campaña 'hackea' las cuentas de WhatsApp sin robar contraseñas ni duplicar la SIM

La investigación llevada adelante por Gen Digital reveló que la modalidad utilizada en el esquema llamado “GhostPairing” obtiene acceso a cuentas de WhatsApp de manera inadvertida por parte del usuario, debido a que la plataforma reconoce el nuevo vínculo como una acción legítima del titular. Esto permite a los atacantes operar la cuenta sin que la víctima reciba advertencias o alertas de seguridad. Según publicó Gen Digital y replicaron distintos medios, el ataque aprovecha la función oficial de acceso multidispositivo de WhatsApp y no requiere ni contraseñas robadas ni la clonación de la tarjeta SIM, dos técnicas frecuentes en incidentes de este tipo en el pasado.

De acuerdo con la descripción de Gen Digital, el proceso comienza con el envío de un mensaje originado desde la cuenta de un contacto conocido, donde se advierte sobre una supuesta imagen comprometedora del receptor, junto con un enlace. Al pulsarlo, el usuario es dirigido a una página que simula la interfaz de inicio de sesión de Facebook. El sitio solicita el número telefónico y luego invita al usuario a iniciar un procedimiento de vinculación usando WhatsApp, mediante el escaneo de un código QR o la introducción de un código numérico, práctica común en las versiones web o de escritorio de la plataforma.

El reporte de Gen Digital recalca que los atacantes suelen inclinarse por la verificación mediante código numérico. De este modo, la persona otorga permiso, sin percatarse, para que su cuenta se asocie a un navegador en manos del ciberdelincuente. Tras la vinculación, el atacante dispone de una sesión completamente activa en su dispositivo, sin que el legítimo propietario advierta cambios en su cuenta o en las notificaciones de seguridad. WhatsApp considera responsable de la vinculación al propio usuario porque la acción se realiza desde su terminal y a través de métodos reconocidos por la aplicación.

Esta mecánica permite que quienes ejecutan el ataque accedan al historial de chats, visualicen y almacenen mensajes, reciban archivos, consulten la agenda de contactos y repliquen el mensaje fraudulento entre otros miembros de la red social de la víctima. Así, la campaña aprovecha la confianza preexistente en las relaciones digitales y puede extenderse en cascada mediante la automatización de los envíos y la falta de mecanismos de alerta visibles para el usuario comprometido.

Gen Digital analizó que la efectividad de GhostPairing se debe a la utilización exclusiva de recursos legítimos de WhatsApp: no requiere aplicaciones externas, acceso ilícito a sistemas, ni la implantación de malware. El vector principal es la manipulación psicológica, aprovechando el diseño visual de interfaces populares y la naturalidad de los mensajes, que se originan en contactos reales. El usuario termina autorizando el acceso por cuenta propia, lo cual dificulta la identificación de la intrusión y retrasa eventuales medidas de remediación.

Las capacidades del atacante incluyen el uso pleno de las funciones de WhatsApp Web: consultar mensajes archivados, enviar y recibir comunicaciones en nombre del dueño de la cuenta, descargar documentos y archivos multimedia. Todo ello ocurre en tiempo real y sin restricciones, lo que abre la puerta a la reiteración del ataque y la multiplicación de víctimas. Cada nuevo usuario engañado suma potenciales destinatarios de la trampa, incrementando el alcance sin intervención manual y generando un efecto dominó entre los contactos de confianza.

El documento de Gen Digital advierte que GhostPairing constituye un desafío para los sistemas de monitoreo y para los propios usuarios. Al no detectarse situaciones atípicas, como el robo de contraseñas, la interrupción de mensajes SMS o alteraciones en la configuración de seguridad, la vulneración puede mantenerse durante largos períodos. La estrategia recae enteramente en la utilización de los hábitos digitales cotidianos y la relación de confianza con los remitentes de los mensajes.

El análisis publicado por Gen Digital también alerta que WhatsApp, en la mayoría de los casos, no emite notificaciones automáticas cuando se vincula un nuevo dispositivo, lo que refuerza la permanencia silenciosa del atacante. La explotación de la funcionalidad multidispositivo, diseñada para facilitar el acceso simultáneo a la mensajería, representa una amenaza adicional para la privacidad: el intruso obtiene control sobre conversaciones privadas, archivos multimedia, listas de contactos y puede instrumentar acciones masivas utilizando la identidad del propietario legítimo.

Gen Digital recomienda extremar las precauciones ante cualquier mensaje, incluso los procedentes de personas conocidas, que sugiera la vinculación de dispositivos o el acceso a enlaces externos fuera de los canales habituales ofrecidos por la aplicación. Los especialistas llaman a validar siempre el contexto de los enlaces recibidos y revisar manualmente, desde la configuración de WhatsApp, los dispositivos asociados a la cuenta para detectar posibles accesos sospechosos.

El informe concluye que la clave del éxito de GhostPairing descansa en la credibilidad asignada tanto a quien remite el mensaje fraudulento como a la presentación gráfica del entorno falso que solicita el dato clave para la vinculación. La técnica logra superar los controles tradicionales al no desencadenar señales de alerta reconocibles para el usuario, generando un nuevo reto para la seguridad de los servicios de mensajería instantánea. Según Gen Digital, la respuesta ante este tipo de incidentes recae principalmente en la capacitación y la vigilancia constante, con énfasis en la desconfianza ante solicitudes inusuales de interacción y la revisión regular de los dispositivos emparejados en la plataforma.