El ghostpairing es una técnica de fraude basada en ingeniería social que busca vincular una cuenta digital a un dispositivo o sesión controlada por el atacante sin que la víctima pierda necesariamente el acceso principal.
A diferencia del robo tradicional de cuentas, el objetivo no siempre es cambiar la contraseña o expulsar al usuario, sino añadir una presencia oculta dentro de la cuenta.
El caso se ha detectado especialmente en WhatsApp y WhatsApp Web por el uso de dispositivos vinculados, pero la lógica del ataque no se limita a esta aplicación.
Cualquier plataforma que permita mantener sesiones abiertas, conectar dispositivos, autorizar aplicaciones externas o aprobar accesos desde otro equipo puede ser intervenida de manera similar.
Cómo funciona el engaño
El ataque empieza con un mensaje diseñado para generar confianza o urgencia. Puede llegar desde una cuenta previamente comprometida, lo que hace que la víctima lo perciba como legítimo. El contenido suele incluir un enlace con un pretexto simple: una supuesta foto, una etiqueta, una revisión de seguridad, una invitación o una comprobación de identidad.
Al acceder al enlace, la víctima llega a una página fraudulenta que imita un servicio conocido. El sitio puede simular una pantalla de Meta, Google, Microsoft, una red social, una plataforma de mensajería o cualquier servicio usado por la víctima.
A partir de ahí, el atacante no siempre intenta robar directamente una contraseña. En muchos casos busca que el usuario complete una acción legítima: escanear un código QR, introducir un número de teléfono, aprobar una notificación, iniciar sesión en una versión web falsa o autorizar la vinculación de un nuevo dispositivo.
El resultado es una sesión añadida a la cuenta. La víctima puede seguir utilizando el servicio, pero el atacante también obtiene acceso.
Por qué es más difícil de detectar
El aspecto más problemático del ghostpairing es que no siempre produce una señal evidente. En un robo clásico, la víctima suele notar que no puede entrar, que la contraseña ha cambiado o que la cuenta ha sido recuperada por un tercero. En este caso, el acceso principal puede seguir funcionando.
Esa continuidad reduce la sospecha. El usuario abre la aplicación, ve sus mensajes o su perfil y no percibe una pérdida inmediata de control. Mientras tanto, el atacante puede consultar información, observar actividad, descargar archivos o preparar nuevos fraudes desde dentro de la cuenta.
La técnica resulta especialmente útil cuando el valor está en la vigilancia, la lectura de mensajes, la suplantación progresiva o el acceso a información sensible, no solo en el bloqueo de la cuenta.
Plataformas donde puede aplicarse la misma lógica
En aplicaciones de mensajería, como WhatsApp, Telegram o servicios con versión web, el atacante puede buscar el acceso a conversaciones, archivos, grupos y contactos. La cuenta comprometida también puede servir para enviar enlaces fraudulentos a otras personas con mayor credibilidad.
En redes sociales, el objetivo puede ser acceder a mensajes privados, publicar contenido, modificar datos del perfil, contactar con seguidores o utilizar la cuenta para campañas de fraude y suplantación.
En servicios de correo electrónico, el riesgo es mayor. Una sesión no autorizada puede permitir leer comunicaciones, recuperar contraseñas de otros servicios, acceder a facturas, documentos, contratos o información profesional, y preparar ataques dirigidos.
En plataformas corporativas, como suites de productividad, almacenamiento en la nube o herramientas de colaboración, el atacante puede obtener acceso a documentos internos, conversaciones de equipo, calendarios, archivos compartidos o credenciales almacenadas de forma indirecta.
En cuentas bancarias o servicios financieros, el margen suele estar más protegido por controles adicionales, pero el riesgo puede aparecer si el usuario autoriza accesos, entrega códigos, instala aplicaciones falsas o permite operaciones desde un dispositivo no reconocido.
WhatsApp como caso visible
WhatsApp es uno de los casos más claros porque su función de dispositivos vinculados permite utilizar la cuenta desde varios equipos. El atacante puede intentar que la víctima complete el proceso como si estuviera accediendo a una foto, verificando su identidad o entrando en un servicio legítimo.
Una vez vinculada la sesión, el atacante puede consultar parte de la actividad disponible, enviar mensajes y aprovechar la confianza de los contactos. La víctima, al no perder el acceso desde su teléfono, puede tardar más en detectar el problema.
Por eso la revisión periódica de Dispositivos vinculados es una medida básica. Cualquier sesión desconocida debe cerrarse de inmediato.
Qué hacer si se sospecha de una sesión no autorizada
La primera medida es revisar las sesiones activas de la cuenta afectada. En cada plataforma puede aparecer con nombres distintos: dispositivos vinculados, sesiones activas, actividad de inicio de sesión, aplicaciones conectadas, dispositivos de confianza o accesos recientes.
Si aparece un dispositivo, navegador, ubicación o aplicación no reconocida, debe cerrarse la sesión. Después conviene cambiar la contraseña y activar o revisar la autenticación en dos factores.
También es recomendable revocar permisos de aplicaciones externas. Muchas cuentas permiten conectar servicios de terceros que mantienen acceso aunque el usuario cambie algunos datos de inicio de sesión.
Si la cuenta ha sido utilizada para suplantar la identidad de la víctima, enviar enlaces fraudulentos o cometer un fraude económico, deben conservarse pruebas. Capturas de pantalla, mensajes, correos, enlaces, números de teléfono, registros de actividad y justificantes pueden ser útiles para una denuncia.
Prevención: revisar accesos, no solo contraseñas
La prevención no debe limitarse a usar contraseñas fuertes. El ghostpairing demuestra que una cuenta puede verse comprometida aunque la contraseña no haya cambiado. El punto crítico está en las sesiones abiertas y en las autorizaciones concedidas.
Conviene revisar de forma periódica los dispositivos vinculados, cerrar sesiones antiguas, eliminar aplicaciones conectadas que ya no se utilicen y desconfiar de cualquier enlace que pida aprobar un acceso, escanear un QR o verificar una cuenta.
La autenticación en dos factores sigue siendo necesaria, pero no elimina por completo el riesgo si el usuario aprueba manualmente una acción fraudulenta. Ningún código, aviso de verificación o solicitud de acceso debe aceptarse sin comprobar antes qué se está autorizando.
EL ghostpairing no es solo un problema de WhatsApp. Es una forma de abuso de confianza contra el modelo actual de cuentas multiplataforma. Su eficacia depende de una idea sencilla: conseguir que la víctima abra la puerta pensando que está realizando una acción normal.
