Hay un nuevo ataque contra WhatsApp que está creciendo con rapidez y lo más preocupante es que actúa en silencio. No roba contraseñas, no explota fallos técnicos y no dispara alertas evidentes. Se llama GhostPairing y está permitiendo a los atacantes tomar control total de cuentas legítimas sin que el usuario se dé cuenta hasta que ya es demasiado tarde.
Este método no aprovecha vulnerabilidades del sistema, sino algo mucho más peligroso: la ingeniería social y una función legítima de WhatsApp que millones de personas usan sin pensarlo dos veces.
GhostPairing: el engaño que secuestra tu WhatsApp sin tocar tu contraseña
El ataque comienza de forma aparentemente inocente. La víctima recibe un mensaje atractivo que incluye un enlace a lo que parece ser una publicación de Facebook. Al hacer clic, aparece una supuesta verificación de seguridad. Se solicita el número de teléfono y, después, un código que llega por SMS.
Ese es el momento crítico. Al introducir ese código, el usuario no accede a ningún contenido exclusivo ni supera ningún control: acaba de vincular el WhatsApp del atacante a su propia cuenta. En segundos, el hacker obtiene acceso completo a mensajes, contactos y conversaciones, sin necesidad de cambiar contraseñas ni activar alertas visibles.
Un ataque silencioso y difícil de detectar
Lo más alarmante de GhostPairing es que no deja señales claras. No hay notificaciones evidentes, no aparece ningún aviso sospechoso y la cuenta sigue funcionando con aparente normalidad. El problema es que el dispositivo vinculado puede ver absolutamente todo.
WhatsApp ha reconocido el riesgo y recomienda extremar precauciones antes de vincular cualquier dispositivo, además de activar la verificación en dos pasos (2SV). La plataforma también asegura estar evaluando nuevas medidas para frenar este tipo de estafas, pero mientras tanto, el peligro es real.
Existe una ironía inquietante en ciberseguridad: cuando una amenaza se hace pública, también se vuelve más atractiva para otros delincuentes. El periodo de mayor riesgo es justo después de que el ataque se da a conocer y antes de que existan barreras efectivas para detenerlo. Exactamente el punto en el que estamos ahora.
Muchos usuarios asumen que no tienen dispositivos extraños vinculados a su cuenta. El problema es que no hay una bandera roja automática que lo confirme. Si no revisas la configuración, simplemente no lo sabes.
Revisa esta configuración ahora mismo
WhatsApp es claro en su recomendación y la urgencia no es exagerada. Abre la aplicación y sigue este camino:
Configuración > Dispositivos vinculados
Si ves cualquier dispositivo que no reconoces, que ya no usas o sobre el que tengas la más mínima duda, ciérralo de inmediato. No vale la pena arriesgarse. Un dispositivo vinculado tiene acceso total a tu actividad.
Además, la plataforma insiste en una regla básica que sigue siendo ignorada con demasiada frecuencia: nunca compartas tu número ni códigos de verificación, aunque el mensaje parezca legítimo, urgente o provenga de una supuesta empresa conocida. Verifica siempre por canales independientes. Ahora mismo, no revisar esta opción es asumir un riesgo innecesario. GhostPairing no hace ruido, no deja rastros claros y ya está circulando con fuerza.