Una nueva campaña de ciberdelincuencia está poniendo en riesgo la seguridad digital de los ciudadanos de Albacete mediante una técnica conocida como GhostPairing o «emparejamiento fantasma», un ataque que permite a los delincuentes tomar el control de cuentas de WhatsApp sin necesidad de robar contraseñas ni duplicar tarjetas SIM.
El engaño comienza de forma aparentemente inofensiva. La víctima recibe un mensaje de uno de sus propios contactos en el que se le informa de que ha aparecido en una fotografía y se le invita a pinchar en un enlace para comprobarlo. Este primer mensaje, que genera curiosidad y confianza, es clave para el éxito del fraude.
Al acceder al enlace, el usuario es redirigido a una página que imita la pantalla de inicio de sesión de Facebook. Allí se le solicita que introduzca su número de teléfono y, a continuación, que confirme el acceso escaneando un código QR con WhatsApp o introduciendo un código numérico. Este último método es el más utilizado en esta campaña fraudulenta.
Hackean cuentas de WhatsApp
Sin saberlo, la víctima está siguiendo los pasos legítimos de la función de vinculación de dispositivos de WhatsApp, que permite asociar una misma cuenta a varios equipos -como WhatsApp Web o la versión para Windows- sin necesidad de usar el móvil principal. Los ciberdelincuentes se aprovechan de esta herramienta oficial para lograr que sea el propio usuario quien vincule su cuenta a un navegador controlado por ellos.
De este modo, el atacante obtiene acceso completo a WhatsApp Web. A ojos de la plataforma, ha sido el usuario quien ha añadido un nuevo dispositivo, aunque en realidad no sea consciente de ello. De ahí el nombre GhostPairing, ya que el emparejamiento se produce «en la sombra», tal y como explican investigadores de la empresa de ciberseguridad Gen Digital.
Una vez dentro, el delincuente puede leer conversaciones, recibir mensajes en tiempo real, descargar documentos y archivos multimedia e incluso enviar mensajes en nombre de la víctima. Esta capacidad le permite expandir la estafa, contactando con otros usuarios de la agenda y repitiendo el mismo engaño de la supuesta fotografía.
