· Jonathan Izquierdo · Noticias seguridad  ·

7 min de lectura

GhostPairing: el ataque que secuestra cuentas de WhatsApp sin robar contraseñas

Descubren campaña que abusa del device linking de WhatsApp para tomar control total de cuentas. Análisis forense de cómo funciona y sus implicaciones legales.

Descubren campaña que abusa del device linking de WhatsApp para tomar control total de cuentas. Análisis forense de cómo funciona y sus implicaciones legales.

El 17 de diciembre de 2025, investigadores de Gen Digital (empresa matriz de Norton, Avast y AVG) revelaron una sofisticada campaña de secuestro de cuentas de WhatsApp denominada “GhostPairing”. A diferencia de los ataques tradicionales de phishing, esta técnica no requiere robar contraseñas ni interceptar SMS: utiliza la propia funcionalidad legítima de vinculación de dispositivos de WhatsApp.

Como perito informático forense, analizo las implicaciones técnicas y legales de este nuevo vector de ataque.

¿Qué es el ataque GhostPairing?

Según reportan Malwarebytes y Gen Digital, GhostPairing es una campaña que abusa de la función “Vincular dispositivo” de WhatsApp para añadir silenciosamente el navegador del atacante como dispositivo vinculado a la cuenta de la víctima.

Lo que hace peligroso este ataque

Como señala el informe de Gen Digital: “No depende de robar secretos. No hay phishing de contraseñas, no hay interceptación de SMS, no hay bypass de autenticación. Todo ocurre dentro de los límites de las funcionalidades que WhatsApp diseñó intencionalmente.”

¿Cómo funciona el ataque?

  1. Mensaje inicial de confianza: La víctima recibe un mensaje de un contacto conocido (cuya cuenta ya fue comprometida) con un enlace que supuestamente lleva a una foto online

  2. Página falsa de verificación: El enlace redirige a una página que simula ser de Facebook, solicitando “verificar” el número de teléfono para ver el contenido

  3. Captura del código de vinculación: El atacante usa el número proporcionado para iniciar el proceso de “vincular dispositivo por número de teléfono” en WhatsApp Web

  4. Código de 8 dígitos: WhatsApp genera un código de vinculación que el atacante intercepta y muestra a la víctima en la página falsa

  5. Vinculación completada: La víctima introduce el código pensando que es verificación, pero en realidad está autorizando el dispositivo del atacante

Capacidades del atacante una vez vinculado

CapacidadDescripción
Lectura de chats sincronizadosAcceso a conversaciones históricas sincronizadas
Mensajes en tiempo realRecibe todos los mensajes entrantes al instante
Descarga de multimediaPuede descargar fotos, vídeos y documentos
Suplantación de identidadPuede enviar mensajes haciéndose pasar por la víctima
Propagación del ataqueUsa la cuenta comprometida para atacar a más contactos

Implicaciones forenses del GhostPairing

Como perito, identifico cuatro aspectos críticos que afectan a la investigación de casos relacionados:

1. Evidencias de compromiso en la base de datos

El ataque GhostPairing deja rastros detectables en la base de datos de WhatsApp:

📱 Dispositivo víctima
├── Tabla linked_devices → Nuevo dispositivo vinculado
├── Última actividad → Timestamp de vinculación
├── Tipo de dispositivo → Generalmente "Chrome" o "Firefox"
└── IP de conexión → Si está disponible en logs del servidor

Durante un análisis forense, verificar la tabla de dispositivos vinculados es fundamental para detectar accesos no autorizados.

2. Asimetría de mensajes

Un indicador forense clave es la asimetría de contenido:

  • Los mensajes enviados desde el dispositivo del atacante aparecen en ambos dispositivos
  • La víctima puede no reconocer mensajes que supuestamente envió ella
  • Pueden existir conversaciones iniciadas con contactos que la víctima desconoce
Detección durante peritaje

Al comparar la memoria de la víctima con el contenido de su base de datos, las inconsistencias pueden revelar actividad del atacante. Frases como “yo nunca envié ese mensaje” deben investigarse verificando dispositivos vinculados.

3. Propagación desde contactos de confianza

El hecho de que el ataque se propague a través de contactos conocidos tiene implicaciones importantes:

  • Cadena de víctimas: Cada cuenta comprometida puede atacar a todos sus contactos
  • Evidencia correlacionada: En casos complejos, podemos rastrear la cadena de infección
  • Responsabilidad difusa: ¿Es responsable la primera víctima de los mensajes enviados a sus contactos?

4. Persistencia silenciosa

A diferencia de otros ataques, GhostPairing es extremadamente persistente:

  • El teléfono de la víctima sigue funcionando normalmente
  • No hay notificaciones evidentes de compromiso
  • El atacante puede mantener acceso durante semanas o meses
  • Solo una revisión activa de “Dispositivos vinculados” revela el compromiso

Casos de uso en procedimientos judiciales

Escenario 1: Defensa por cuenta comprometida

Si un cliente alega que mensajes comprometedores no fueron enviados por él:

Evidencia a buscarSignificado
Dispositivos vinculados desconocidosPosible compromiso GhostPairing
Timestamps de vinculación¿Coinciden con el periodo de mensajes disputados?
Patrones de horario¿Mensajes enviados a horas inusuales para la víctima?
Estilo de escritura¿Coincide con el patrón habitual del usuario?

Escenario 2: Investigación de estafas

GhostPairing se usa frecuentemente para estafas:

  1. Compromiso inicial: Atacante gana acceso a cuenta de empresa o persona de confianza

  2. Suplantación: Envía mensajes solicitando transferencias urgentes a contactos de la víctima

  3. Ejecución de fraude: Los contactos transfieren dinero pensando que hablan con persona conocida

  4. Desvinculación: El atacante elimina su dispositivo vinculado para borrar rastros

Escenario 3: Acoso a través de cuenta secuestrada

En casos de acoso digital donde el agresor:

  • Accede a conversaciones privadas de la víctima
  • Envía mensajes comprometedores desde la cuenta de la víctima
  • Recopila información personal para intimidación

Cómo detectar si has sido víctima

Verificación inmediata

  1. Abrir WhatsApp → AjustesDispositivos vinculados

  2. Revisar todos los dispositivos listados

  3. Si aparece algún dispositivo que no reconoces → Cerrar sesión inmediatamente

  4. Considerar cerrar sesión de todos los dispositivos y re-vincular solo los propios

Indicadores de compromiso

  • Mensajes en conversaciones que no recuerdas haber enviado
  • Contactos mencionando conversaciones que no tuviste
  • Notificaciones de mensajes leídos que no abriste
  • Archivos multimedia descargados que no reconoces
En caso de sospecha

Si sospechas que tu cuenta fue comprometida y estás involucrado en un procedimiento judicial, no elimines nada. Contacta con un perito forense para documentar el estado actual antes de tomar medidas correctivas.

Medidas de protección

Prevención técnica

MedidaImplementación
Verificación en dos pasosAjustes → Cuenta → Verificación en dos pasos
Revisión periódicaComprobar dispositivos vinculados semanalmente
Desconfiar de enlacesNunca verificar cuenta a través de enlaces externos
Vincular solo desde la appEl proceso de vinculación debe iniciarse SOLO desde WhatsApp

Concienciación

  • Los códigos de vinculación de 8 dígitos nunca deben introducirse en páginas web externas
  • WhatsApp nunca solicita verificación a través de enlaces
  • Si un contacto envía algo sospechoso, verificar por otro canal (llamada, presencial)

El kit de phishing detrás del ataque

Según BleepingComputer, hay indicios de que GhostPairing está alimentado por un kit de phishing comercializado entre cibercriminales:

  • La misma plantilla de “visor de Facebook” aparece en múltiples dominios
  • Los dominios pueden reconfigurarse y redesplegarse rápidamente cuando son bloqueados
  • Esto sugiere una infraestructura criminal organizada detrás de la campaña

Origen geográfico

Gen Digital detectó por primera vez la campaña en República Checa, pero advierte que puede propagarse globalmente a través de las cuentas comprometidas, siguiendo las redes de contactos de cada víctima.

Preguntas frecuentes

¿GhostPairing explota una vulnerabilidad de WhatsApp?

No exactamente. GhostPairing abusa de una funcionalidad legítima (device linking) mediante ingeniería social. WhatsApp funciona según fue diseñado; el problema es que los usuarios pueden ser engañados para autorizar dispositivos maliciosos.

¿Puedo saber cuándo se vinculó un dispositivo malicioso?

Sí. En la sección de Dispositivos vinculados, WhatsApp muestra cuándo fue la última actividad de cada dispositivo. Durante un análisis forense, podemos recuperar información más detallada de la base de datos.

¿Los mensajes enviados por el atacante son legalmente míos?

Esta es una cuestión compleja. Si se puede demostrar que la cuenta fue comprometida mediante GhostPairing, existe un argumento sólido de que esos mensajes no expresan la voluntad del titular de la cuenta. Un informe pericial documentando el compromiso es fundamental para esta defensa.

¿WhatsApp puede identificar los accesos del atacante?

WhatsApp/Meta tiene registros de servidores que pueden mostrar IPs y timestamps de conexión de dispositivos vinculados. Con orden judicial, esta información puede solicitarse y es muy valiosa para identificar al atacante.

Conclusiones para la práctica forense

El ataque GhostPairing representa un nuevo paradigma en la manipulación de cuentas de mensajería:

  1. No requiere hackeo técnico: Usa funcionalidades legítimas, lo que dificulta la detección automática

  2. Deja rastros identificables: Los dispositivos vinculados quedan registrados en la base de datos

  3. Complica la atribución: Un mensaje puede existir en el dispositivo pero no haber sido enviado por su propietario

  4. Exige verificación forense: En cualquier caso que involucre WhatsApp, verificar dispositivos vinculados es ahora un paso obligatorio

Como perito, actualizaré mis protocolos de análisis para incluir siempre la verificación de la tabla de dispositivos vinculados y la correlación de timestamps con mensajes disputados.

¿Sospechas que tu WhatsApp fue comprometido?

Ofrezco análisis forense para detectar vinculaciones no autorizadas, documentar el compromiso y preparar informes periciales válidos en procedimientos judiciales.

Solicitar análisis forense

Fuentes consultadas:

Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de dispositivos móviles y certificación de comunicaciones digitales para procedimientos judiciales.

Última actualización: Diciembre 2025

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp