Las autoridades de ciberseguridad de la India están alertando sobre una nueva clase de toma de control de cuentas de WhatsApp que no depende del robo de credenciales, la descarga de malware o el fraude de intercambio de SIM. En cambio, explota algo mucho más rutinario: la forma en que los usuarios vinculan WhatsApp a dispositivos adicionales.
El Indian Computer Emergency Response Team (CERT-In), junto con el Ministerio de Electrónica y Tecnología de la Información (MeitY), ha emitido advertencias sobre una campaña cibernética activa llamada GhostPairing, alertando que los atacantes están abusando de la función de vinculación de dispositivos de WhatsApp para obtener acceso no autorizado completo a las cuentas de los usuarios.
Lo que distingue a GhostPairing no es la sofisticación técnica, sino la sutileza. El ataque se basa en la ingeniería social y la confianza mal depositada, lo que dificulta que los usuarios e incluso las organizaciones lo detecten hasta que ya se han producido daños.
¿Por qué las autoridades reguladoras están dando la alarma ahora?
La advertencia se produce en un momento en que las aplicaciones de mensajería como WhatsApp han evolucionado más allá de las herramientas de chat personales. Ahora están integradas en la comunicación profesional, la coordinación comunitaria y, cada vez más, en las interacciones financieras.
CERT-In calificó la campaña GhostPairing como de severidad “Alta”, señalando que los atacantes pueden tomar el control de las cuentas sin necesidad de contraseñas ni intercambios de SIM. MeitY se hizo eco de la preocupación, afirmando que los infractores están explotando el mecanismo de vinculación de dispositivos de WhatsApp para secuestrar cuentas utilizando códigos de emparejamiento que no activan alertas de autenticación.
Este momento también es significativo. La advertencia se produce después de la reciente directiva del Departamento de Telecomunicaciones (DoT) que exige la vinculación continua de SIM para las plataformas de mensajería, una medida destinada a frenar el fraude impulsado por la suplantación de identidad de cuentas. GhostPairing expone un riesgo paralelo: incluso sin comprometer la SIM, las cuentas aún pueden ser tomadas si los usuarios son engañados para autorizar el acceso.
¿Qué es exactamente GhostPairing?
GhostPairing es una técnica de toma de control de cuentas de WhatsApp que utiliza indebidamente la capacidad de múltiples dispositivos de la plataforma, que permite a los usuarios acceder a sus chats en portátiles, tabletas o navegadores.
“En pocas palabras, el ataque GhostPairing engaña a los usuarios para que otorguen a un navegador del atacante acceso como un dispositivo adicional de confianza y oculto, utilizando un código de emparejamiento que parece auténtico”, dijo CERT-In.
Una vez que el dispositivo del atacante está vinculado, funciona como cualquier otro dispositivo complementario legítimo. La víctima permanece conectada en su teléfono, a menudo sin saber que alguien más está monitoreando las conversaciones simultáneamente.
Actualmente no existe un límite en el número de dispositivos que se pueden vincular a una cuenta de WhatsApp, lo que amplifica aún más el riesgo.
¿Cómo se desarrolla típicamente el ataque?
Según CERT-In y MeitY, la campaña GhostPairing sigue un patrón predecible pero eficaz que aprovecha la familiaridad y la urgencia.
Las víctimas suelen recibir un mensaje de un contacto de confianza que dice: “Hola, mira esta foto”.
La secuencia luego se desarrolla de la siguiente manera:
-
El mensaje contiene un enlace con una vista previa al estilo de Facebook
-
El enlace redirige a los usuarios a una página de visor falsa
-
Se les pide a los usuarios que “verifiquen” ingresando su número de teléfono y un código
“Al seguir una secuencia de pasos aparentemente inofensiva, las víctimas otorgan inadvertidamente a los atacantes acceso completo a sus cuentas de WhatsApp, sin robo de contraseñas ni intercambio de SIM”, señaló CERT-In.
A partir de ese momento, el dispositivo del atacante se empareja silenciosamente con la cuenta.
¿Qué pueden hacer los atacantes después del emparejamiento?
Una vez que GhostPairing tiene éxito, los actores de amenazas obtienen acceso a todo lo disponible a través de WhatsApp Web. Esto incluye:
-
Leer conversaciones pasadas
-
Recibir nuevos mensajes en tiempo real
-
Acceder a fotos, videos y notas de voz
-
Enviar mensajes mientras se hace pasar por la víctima
Para las personas, esto puede escalar rápidamente a fraude financiero o daño a la reputación. Para las organizaciones que dependen de WhatsApp para la comunicación interna o con los clientes, las implicaciones incluyen la exposición de datos, la ingeniería social a gran escala y la erosión de la confianza.
Un patrón más amplio de abuso de aplicaciones de mensajería
La advertencia de GhostPairing se alinea con las advertencias anteriores del Centro de Coordinación de Ciberdelitos de la India (I4C), que identificó una tendencia delictiva transnacional en la que los estafadores utilizaban anuncios en plataformas sociales para engañar a los usuarios y vincular sus cuentas de WhatsApp.
Lo que está cambiando es la técnica. En lugar de tomas de control por fuerza bruta, los atacantes están explotando cada vez más los flujos de trabajo legítimos del producto y confiando en la acción del usuario para completar la brecha.
Este cambio también explica por qué la directiva de vinculación de SIM del DoT, aunque bien intencionada, ha generado críticas. Los abogados y los defensores de los derechos digitales han expresado su preocupación por la privacidad, el acceso a múltiples dispositivos y los desafíos de implementación, especialmente para los profesionales que dependen de WhatsApp en múltiples puntos finales.
GhostPairing subraya que los riesgos de seguridad ahora se sitúan en la intersección del diseño tecnológico, la política y el comportamiento humano.
¿Qué deben hacer los usuarios y las organizaciones?
CERT-In y MeitY han delineado pasos de mitigación específicos para reducir la exposición a ataques de tipo GhostPairing.
Para usuarios individuales
-
Evite hacer clic en enlaces sospechosos, incluso de contactos conocidos
-
Nunca ingrese números de teléfono o códigos de verificación en sitios externos
-
Revise periódicamente los dispositivos vinculados a través de WhatsApp > Configuración > Dispositivos vinculados
-
Cierre sesión inmediatamente de cualquier dispositivo no reconocido
Para organizaciones que utilizan WhatsApp
-
Realice capacitación de concientización sobre seguridad centrada en las amenazas basadas en mensajería
-
Aplique políticas de administración de dispositivos móviles (MDM) cuando corresponda
-
Supervise los indicadores de phishing y ingeniería social
-
Establezca protocolos claros para la detección y remediación rápidas
GhostPairing es un recordatorio de que las amenazas cibernéticas modernas no siempre rompen los sistemas; persuaden a los usuarios. Al explotar la confianza, el comportamiento rutinario y la familiaridad con las funciones, los atacantes están encontrando caminos más silenciosos hacia plataformas ampliamente utilizadas.
Como dejan claro las advertencias de CERT-In y MeitY, proteger las cuentas de mensajería ahora requiere más que contraseñas seguras o controles de SIM. Exige conciencia del usuario, controles de higiene periódicos y un enfoque más crítico ante indicaciones aparentemente inofensivas.
En un ecosistema donde la comodidad y la conectividad definen la experiencia del usuario, GhostPairing muestra cuán fácilmente el equilibrio puede inclinarse y por qué la vigilancia sigue siendo la última línea de defensa.
