Investigadores de seguridad del CERT de India han alertado
sobre una campaña de estafa conocida como GhostPairing, que explota la función oficial de «dispositivos
vinculados» de WhatsApp para obtener acceso persistente a cuentas de usuarios
de forma silenciosa.
La campaña de fraude denominada
GhostPairing permite a los atacantes tomar el control de cuentas de
WhatsApp sin necesidad de robar contraseñas, interceptar códigos SMS ni
clonar la tarjeta SIM.
El ataque se basa en ingeniería social y en el abuso de la funcionalidad
legítima de vinculación de dispositivos de la propia aplicación.
A diferencia de otros ataques habituales contra servicios de mensajería,
GhostPairing no requiere vulnerabilidades técnicas, malware ni acceso previo
al dispositivo de la víctima. El éxito del ataque depende exclusivamente de
engañar al usuario para que autorice, sin ser consciente de ello, la
vinculación de su cuenta a un dispositivo controlado por el atacante.
El ataque suele comenzar con un mensaje aparentemente legítimo, a menudo
enviado desde una cuenta previamente comprometida de un contacto conocido, que
incluye un enlace con algún pretexto («mira esta foto», «¿eres tú en este vídeo?»). Dicho enlace dirige a una página fraudulenta que simula ser un servicio de
Meta o un visor de contenidos.
Al acceder al enlace, la víctima es redirigida a una página que imita la
apariencia de una pantalla de inicio de sesión de Facebook. Allí se le
solicita que introduzca su número de teléfono. Tras este paso,
el sitio pide confirmar el acceso escaneando un código QR con WhatsApp o
ingresando un código numérico enviado al dispositivo.
Aunque ambas opciones existen de forma legítima, los investigadores señalan
que el método del código numérico es el más utilizado en esta campaña.
Lo que el usuario no percibe es que, al completar estos pasos, está siguiendo
exactamente el proceso de vinculación de dispositivos de WhatsApp.
De manera involuntaria, está autorizando que su cuenta se conecte a un
nuevo navegador, que en realidad pertenece al ciberdelincuente.
Para WhatsApp, la acción es completamente válida: el sistema interpreta que el
propietario de la cuenta ha añadido un nuevo dispositivo de forma consciente.
Una vez vinculada la cuenta, el atacante puede:
- Leer conversaciones y acceder a archivos compartidos.
-
Enviar mensajes en nombre de la víctima, facilitando la propagación del
fraude. -
Mantener el acceso de forma persistente mientras el dispositivo malicioso
siga vinculado.
Este tipo de ataques pone de relieve los riesgos derivados del abuso de
funcionalidades legítimas y la dificultad de mitigarlos únicamente con
controles técnicos. La principal defensa sigue siendo la concienciación del
usuario.
Como medidas de protección, se recomienda:
-
Revisar periódicamente el apartado «Dispositivos vinculados» en WhatsApp y
eliminar accesos sospechosos. -
Desconfiar de enlaces inesperados, incluso si proceden de contactos
conocidos. - Activar la verificación en dos pasos en la cuenta de WhatsApp.
-
Cerrar inmediatamente todas las sesiones vinculadas si se sospecha un
compromiso.
Fuente:
DNAIndia