WhatsApp es, desde hace mucho tiempo, bastante más que una aplicación de mensajería: es el canal por el que hablamos con familia, amigos, compañeros de trabajo y grupos enteros que forman parte de nuestra rutina diaria. Esa cercanía, esa sensación de espacio seguro y conocido, es precisamente lo que hace que cualquier amenaza que se cuele en la plataforma tenga un impacto mucho mayor que en otros servicios. Y es ahí donde encaja una nueva campaña de fraude detectada recientemente, que demuestra hasta qué punto la confianza puede jugar en nuestra contra.
Investigadores de seguridad han identificado una oleada de ataques reales contra usuarios de WhatsApp que no se basa en malware ni en fallos técnicos clásicos, sino en algo mucho más sencillo: engañar al usuario para que entregue el acceso él mismo. El punto de partida suele ser un mensaje breve, informal y aparentemente inocente, enviado desde la cuenta de alguien conocido. Frases como "Oye, creo que esta es tu foto" o "Acabo de encontrar una imagen tuya" bastan para despertar la curiosidad y provocar el click casi automático.
Ese click lleva a una página que aparenta ser un visor de Facebook, con colores, logotipo y diseño familiares. No hay descargas ni avisos extraños, solo una supuesta pantalla de verificación previa para poder ver el contenido. El truco está en que esa página no tiene nada que ver con Facebook: actúa como intermediaria entre la víctima y la infraestructura legítima de WhatsApp, aprovechándose de funciones reales del servicio para dar el siguiente paso en el engaño.
Aquí entra en juego lo que los investigadores han bautizado como GhostPairing Attack. No hay robo de contraseñas, no hay duplicado de la SIM ni ataques sofisticados al sistema de autenticación. En su lugar, el usuario es convencido para completar el proceso oficial de vinculación de dispositivos de WhatsApp, añadiendo sin saberlo el navegador del atacante como un dispositivo más asociado a su cuenta. Desde el punto de vista de WhatsApp, todo parece perfectamente válido: el propietario ha autorizado el acceso.
Aunque WhatsApp permite vincular dispositivos mediante códigos QR, en esta campaña los atacantes recurren sobre todo a la variante de códigos numéricos. La falsa página pide el número de teléfono y, a continuación, muestra un código que supuestamente hay que introducir en WhatsApp para "verificar" el acceso al contenido. El proceso se parece tanto a una comprobación de seguridad habitual que muchos usuarios lo completan sin sospechar, aprobando así la vinculación del dispositivo del atacante.
Una vez enlazado, el daño está hecho. El atacante obtiene acceso completo a la cuenta desde su propio navegador: puede leer conversaciones, recibir mensajes en tiempo real, descargar fotos y audios, y enviar mensajes haciéndose pasar por la víctima. Lo más peligroso es que la cuenta atacada sigue funcionando con normalidad en el teléfono, por lo que muchas personas no notan nada extraño durante días o incluso semanas, mientras alguien más observa y actúa desde las sombras.
El propio diseño del ataque facilita que se propague rápidamente. Al controlar una cuenta real, los delincuentes pueden reenviar el mismo mensaje trampa a familiares, amigos y grupos de confianza, donde las probabilidades de éxito son mucho mayores que con el spam tradicional. No hay números desconocidos ni textos sospechosos: todo circula dentro de relaciones reales, lo que convierte el fraude en una auténtica bola de nieve.
Protegerse frente a este tipo de ataques no requiere conocimientos técnicos avanzados, pero sí un cambio de hábitos. Es fundamental revisar periódicamente los dispositivos vinculados desde los ajustes de WhatsApp y eliminar cualquier sesión que no reconozcamos. También conviene desconfiar de cualquier web externa que pida escanear un QR o introducir un código para "ver" un archivo recibido por chat: la vinculación de dispositivos debería ser siempre una acción deliberada iniciada desde la propia app. Activar la verificación en dos pasos y avisar a nuestro entorno cuando detectemos este tipo de mensajes también ayuda a frenar su expansión.
Más allá de WhatsApp, este caso es un recordatorio incómodo de una realidad más amplia. Cada vez más servicios digitales dependen de sistemas de emparejamiento rápidos, códigos temporales y aprobaciones con un solo toque. Cuando esos mecanismos se combinan con ingeniería social bien afinada, el resultado puede ser un acceso persistente y silencioso. El GhostPairing no rompe la seguridad: se limita a convencer al usuario de que abra la puerta él mismo. Y ese es, precisamente, el tipo de amenaza al que más atención deberíamos prestar.