Una nueva campaña ‘hackea’ las cuentas de WhatsApp sin robar contraseñas ni duplicar la SIME en qué consiste el ataque

More stories

Modo antispam de WhatsApp: cómo funciona, para qué sirve y pasos para activarlo en la protección contra mensajes no deseados

noviembre 25, 2025

WhatsApp prepara un cambio histórico: dejará de depender del número telefónico como método de identificación

noviembre 19, 2025

Tecnología alemana refuerza su papel estratégico en la industria global de semiconductores

noviembre 4, 2025

Histórica condena en España: Meta deberá pagar 479 millones de euros a medios digitales por competencia desleal y uso ilícito de datos

noviembre 20, 2025

Investigadores de ciberseguridad han detectado una campaña que logra tomar el control de cuentas de WhatsApp sin necesidad de robar contraseñas, romper el cifrado ni duplicar la tarjeta SIM, aprovechando el sistema de “dispositivos vinculados” de la propia aplicación. La técnica, bautizada como GhostPairing, persuade al usuario para que, sin saberlo, autorice la vinculación de su cuenta a un navegador controlado por el atacante, que pasa a funcionar como un segundo dispositivo conectado en paralelo.
El ataque comienza con un mensaje que llega desde un contacto conocido, por ejemplo “apareces en esta foto”, acompañado de un enlace que lleva a una falsa página con apariencia de inicio de sesión de Facebook. En ese sitio se pide el número de teléfono y luego se indica que se escanee un código QR o se introduzca un código numérico, pasos que en realidad replican el flujo legítimo de vinculación de WhatsApp Web, pero dirigidos al navegador del ciberdelincuente.
Qué puede hacer el atacante
Una vez completado el proceso, el atacante obtiene acceso completo a la cuenta: puede ver el historial de chats, recibir mensajes en tiempo real, descargar archivos y multimedia, y enviar mensajes haciéndose pasar por la víctima, incluso para propagar de nuevo la estafa a otros contactos. Como el teléfono original sigue funcionando con normalidad y WhatsApp permite varios dispositivos vinculados, la mayoría de usuarios no nota que hay un “tercer ojo” leyendo y usando sus conversaciones.
Empresas de seguridad como Gen Digital y Avast subrayan que el ataque no explota un fallo técnico de WhatsApp, sino la confianza del usuario y la falta de atención a las pantallas de vinculación y códigos QR. Este enfoque sigue la tendencia de la ciberdelincuencia actual: en lugar de romper sistemas de cifrado, se busca que la propia víctima abra la puerta mediante flujos que parecen rutinarios y legítimos.
Cómo proteger la cuenta
Los expertos recomiendan desconfiar de enlaces inesperados, incluso si los envía un contacto de confianza, y evitar escanear códigos QR o introducir códigos para “ver fotos” o “verificar identidad” fuera de los canales oficiales de WhatsApp. También aconsejan revisar periódicamente la sección “Dispositivos vinculados” de la app y cerrar cualquier sesión que no se reconozca, además de activar medidas adicionales de seguridad en el teléfono y mantenerse atento a mensajes inusuales enviados desde la propia cuenta.