Una nueva campaña de ciberataques ha logrado tomar el control de cuentas de WhatsApp mediante una técnica conocida como ‘GhostPairing’, un método en el que es el propio usuario quien, sin saberlo, realiza la vinculación fraudulenta de su cuenta con un navegador controlado por un ciberdelincuente.
El ataque comienza cuando la víctima recibe un mensaje aparentemente inofensivo de uno de sus contactos. En él, se le informa que ha sido encontrada una fotografía en la que aparece y se le comparte un enlace para que pueda verificarlo.
Al acceder al enlace, el usuario es redirigido a una página de inicio de sesión que imita la interfaz de Facebook. Allí se le solicita introducir su número de teléfono y, posteriormente, confirmar el registro escaneando un código QR con la aplicación de WhatsApp o ingresando un código numérico, siendo este último método el más utilizado en este tipo de campañas.
En realidad, estos pasos guían a la víctima a través del proceso legítimo de vinculación de dispositivos de WhatsApp, una función que permite conectar la cuenta principal hasta con cuatro dispositivos adicionales y acceder a ella sin necesidad de usar el smartphone principal.
La vinculación mediante número de teléfono está habilitada para clientes como WhatsApp Web o WhatsApp para Windows. En este caso, el ciberdelincuente abusa de esta herramienta oficial para obtener acceso a la cuenta de la víctima desde su propio navegador.
De este modo, el atacante puede utilizar WhatsApp Web con total normalidad. A ojos de la plataforma, ha sido el propio usuario quien ha vinculado un nuevo dispositivo, aunque no sea consciente de ello. De ahí el nombre del ataque, ‘GhostPairing’ o emparejamiento fantasma, como lo denominan los investigadores de Gen Digital.
Una vez dentro de la cuenta, el ciberdelincuente obtiene acceso a las mismas funciones disponibles para cualquier usuario de WhatsApp Web: historial de conversaciones, recepción de mensajes en tiempo real, descarga de documentos y archivos multimedia, entre otras.
Además, puede enviar mensajes utilizando la agenda de contactos de la víctima, lo que facilita la propagación del ataque. De hecho, el mensaje inicial sobre la supuesta fotografía suele ser enviado desde una cuenta previamente comprometida. Todo esto ocurre sin necesidad de robar credenciales de acceso ni de realizar un duplicado fraudulento de la tarjeta SIM.
*Con información de Europa Press.
