Una nueva campaña ‘hackea’ las cuentas de WhatsApp sin robar contraseñas ni duplicar la SIM

La técnica denominada ‘GhostPairing’ aprovecha los propios mecanismos de conexión de WhatsApp para que las víctimas vinculen, por su propia iniciativa, su cuenta de mensajería a un navegador controlado por un ciberdelincuente. Según información publicada por investigadores de Gen Digital y reportada por los medios, este tipo de ataque no requiere de la obtención ilegal de contraseñas ni del duplicado de tarjeta SIM, métodos comunes en ataques previos contra servicios de mensajería.

De acuerdo a Gen Digital, el ataque comienza cuando la posible víctima recibe un mensaje de un contacto legítimo de su lista de WhatsApp, alertando sobre una supuesta foto en la que aparece la persona contactada y proporcionando un enlace para visualizarlas. Al acceder, el usuario es redirigido a una página que simula la ventana de inicio de sesión de Facebook. En este entorno falso, se le solicita ingresar su número de teléfono y luego se le pide que utilice la aplicación móvil de WhatsApp para escanear un código QR o introducir un código numérico para completar el registro.

Este proceso lleva a la víctima a vincular su cuenta de WhatsApp con un dispositivo adicional, una función legítima que la aplicación ofrece para usar la cuenta principal en varios dispositivos. Gen Digital informa que el método más común en estos ataques utiliza el código numérico para la verificación, aprovechando la función de WhatsApp Web o la versión de escritorio para Windows. De esta manera, el usuario, sin darse cuenta del engaño, otorga permiso al navegador controlado por el atacante para operar con el mismo nivel de acceso que si tuviera el dispositivo original en su poder.

El informe detalla que, al concluir el proceso, la sesión queda abierta en el equipo del atacante, asumiendo que ha sido la propia víctima quien ha emparejado un nuevo dispositivo. Este método permite consultar el historial de mensajes, visualizar comunicaciones en tiempo real y descargar archivos enviados o recibidos, además de utilizar la lista de contactos para enviar nuevos mensajes, replicando así el primer mensaje y extendiendo el ataque.

Según la información compartida por Gen Digital, el término ‘GhostPairing’ se refiere al carácter invisible de la conexión establecida entre la cuenta y el dispositivo no autorizado. WhatsApp percibe el acceso como una acción legítima del titular, lo que permite que la víctima no se dé cuenta de que un tercero está utilizando su perfil, ya que no hay robo de credenciales ni intervenciones en el flujo normal de SMS utilizados para autorizar nuevos dispositivos en otros fraudes.

Los ciberdelincuentes logran manipular la confianza entre contactos para atraer a más víctimas mediante el reenvío del mensaje inicial, aumentando así rápidamente el alcance del ataque. El método proporciona acceso completo a todas las funciones habilitadas en WhatsApp Web, exponiendo así el riesgo de fuga de información sensible, distribución de archivos y conversaciones, así como la capacidad de contactar a terceros sin la intervención de quien posee la cuenta.

La investigación de Gen Digital indicó que la táctica aprovecha la funcionalidad estándar de WhatsApp para mejorar la experiencia multiusuario en la plataforma. En este contexto, el atacante no necesita explotar vulnerabilidades técnicas ni acceder a sistemas ajenos de forma ilegal, ya que la autorización proviene directamente de la interacción humana, aunque inconsciente. El engaño, tal como se reporta, radica en la manipulación del diseño de páginas web que imitan servicios populares, fomentando una falsa sensación de legitimidad en el proceso de vinculación.

El acceso logrado mediante este engaño ofrece a los ciberdelincuentes la misma gama de posibilidades que a cualquier usuario registrado en WhatsApp Web. Como confirmó Gen Digital, estas facultades incluyen leer mensajes antiguos, recibir nuevos textos al instante, descargar imágenes, videos y documentos, e incluso actuar en nombre del titular original, agravando el impacto al propagar el ataque de contacto a contacto sin detección temprana por parte de los afectados.

El medio destacó que la singularidad de este método radica en la ausencia de técnicas tradicionales para apoderarse de cuentas, como el secuestro de contraseñas o el duplicado ilegal de tarjetas SIM. El procedimiento se basa en la ingeniería social y en el uso de herramientas auténticas de WhatsApp, lo que representa un desafío adicional para la identificación y prevención de tales incidentes. Los investigadores subrayaron la importancia de estar atentos al proceso de vinculación de dispositivos y de desconfiar de enlaces que soliciten realizar estos pasos fuera del contexto habitual o a través de urgencias justificadas aparentemente por contactos conocidos.

Según Gen Digital, la campaña se fundamenta en recursos legítimos proporcionados por la aplicación y explota características multi-dispositivo que, originalmente, buscan mejorar la accesibilidad del usuario. El uso indebido de estos recursos convierte el procedimiento habitual de vinculación de la cuenta con WhatsApp Web u otros dispositivos en un medio que facilita el acceso no autorizado, sin necesidad de software malicioso externo ni el envío de credenciales a servidores desconocidos.

La investigación concluyó que el éxito de la técnica ‘GhostPairing’ radica en la confianza que los usuarios depositan en la legitimidad del mensaje y en la apariencia creíble del sitio de inicio de sesión simulado. Gen Digital señala que la falta de notificaciones directas o alertas automáticas que adviertan al usuario sobre la apertura de una nueva sesión contribuye a aumentar la efectividad de este tipo de ataques. Hasta el momento, las recomendaciones de los expertos se centran en verificar cualquier interacción relacionada con la vinculación de dispositivos y en ser extremadamente cauteloso al recibir enlaces o solicitudes de contactos, incluso si provienen de personas conocidas.