El robo de cuentas en la aplicación de mensajería WhatsApp ha evolucionado hacia una nueva variante técnica denominada Ghostpairing. A diferencia de los fraudes tradicionales, donde los ciberdelincuentes toman el control exclusivo del perfil y expulsan al propietario original, este nuevo método permite a los atacantes monitorizar la actividad de la víctima en segundo plano, manteniendo el acceso de forma simultánea en ambos terminales.
El procedimiento combina técnicas de ingeniería social con las herramientas de conectividad de la propia aplicación. El fraude se inicia cuando el usuario recibe un mensaje de un contacto de confianza —cuya cuenta suele haber sido comprometida previamente— con textos que invitan a pulsar un enlace, tales como «¿eres tú el de esta foto?» o «mira esta foto en la que te he etiquetado».
Al hacer clic, la víctima es redirigida a una página web fraudulenta que imita la estética de plataformas oficiales de Meta, como Facebook o Instagram. En este sitio, tras seguir una serie de pasos que incluyen la introducción del número de teléfono, el sistema realiza un proceso de emparejamiento automatizado. Este mecanismo replica el funcionamiento de las sesiones legítimas de «WhatsApp Web» o de las versiones de escritorio, vinculando la cuenta del afectado a un dispositivo bajo el control de los atacantes.
Una vez completado el enlace, los ciberdelincuentes obtienen acceso total al histórico de conversaciones, documentos y archivos multimedia compartidos. Asimismo, la sesión les permite enviar mensajes suplantando la identidad del titular para continuar propagando el fraude a otros contactos, una situación que se prolonga de manera indefinida hasta que el terminal es desvinculado manualmente de los ajustes.
Pautas de actuación y mitigación de daños
Los expertos en seguridad informática señalan que, en caso de haber sido víctima de esta modalidad, la primera medida obligatoria es acceder al apartado de «Dispositivos vinculados» dentro de los ajustes de WhatsApp para identificar y eliminar cualquier sesión o equipo no reconocido.
Posteriormente, se recomienda realizar un análisis del teléfono móvil con un software antivirus actualizado para descartar infecciones por malware y proceder al cambio inmediato de todas aquellas contraseñas o credenciales de acceso que hubieran podido ser expuestas en los chats comprometidos. Del mismo modo, es fundamental notificar la situación a la red de contactos para frenar la cadena de mensajes fraudulentos.
En los casos donde se detecte que la suplantación de identidad ha sido utilizada para cometer delitos o estafas a terceros, es necesario recopilar las evidencias digitales disponibles y presentar una denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado. Si existe la sospecha de que datos personales sensibles han quedado expuestos de forma pública, se aconseja recurrir a la práctica del egosurfing —búsqueda de la propia información en la red— para verificar la presencia de datos sin consentimiento y, si fuera necesario, ejercer el derecho al olvido.
Medidas de prevención y canales de soporte
Para evitar este tipo de incidentes, los especialistas recuerdan la importancia de no pulsar en enlaces de dudosa procedencia ni descargar archivos adjuntos sospechosos, verificando siempre la autenticidad de los mensajes a través de canales de comunicación alternativos. También se aconseja mantener activada la verificación en dos pasos en la aplicación, revisar de forma periódica las sesiones abiertas en la cuenta y no facilitar bajo ningún concepto códigos temporales o datos bancarios.
Ante cualquier indicio de fraude o vulnerabilidad digital, los ciudadanos tienen a su disposición la Línea de Ayuda en Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE), un servicio gratuito, especializado y confidencial. Se puede contactar con este organismo público a través del teléfono corto 017, mediante su canal de WhatsApp (900 116 117) o por la aplicación de mensajería Telegram (@INCIBE017).
