Ojo en WhatsApp: la nueva estafa para acceder a tus archivos sin necesitar tus contraseñas

Son muchas las estafas en WhatsApp que llegan a través de enlaces en grupos sospechosos, pero pocas las que no requieran de ninguna contraseña tuya o que puedan llegar a través de un contacto conocido.

Además, lo hace explotando una función legítima y muy empleada en nuestro día a día: la vinculación de dispositivos. Así opera el ghost pairing, un nuevo método que tienen los ciberdelincuentes para acceder a nuestros datos. 

¿Cómo funciona?

Ghost pairing es un método de ataque que explota la “vinculación de dispositivos” de WhatsApp —la que permite usar tu cuenta en otro ordenador, tablet o navegador— para engañar al usuario y que dé acceso al atacante a su propia cuenta sin darse cuenta. No es un “hackeo” técnico tradicional, sino una trampa que usa nuestra confianza en los procesos habituales de la app.

En otras palabras, en lugar de “romper” la seguridad de WhatsApp, los ciberdelincuentes te hacen creer que estás siguiendo un procedimiento normal, cuando en realidad estás autorizando un dispositivo externo para acceder a tu cuenta.  

El ataque suele comenzar con un mensaje aparentemente inocente. Puede llegar desde un número desconocido o incluso desde la cuenta de un contacto cercano a nosotros que ya ha sido comprometido. 

El texto suele apelar a la curiosidad o a la urgencia: “Oye, ¿eres tú el de esta foto?”, “Mira este vídeo, creo que sales tú”, o “Alguien está usando tu imagen”. El mensaje incluye un enlace que lleva a una página falsa que imita un visor de fotos o un contenido multimedia.

Cuando el usuario accede, la web solicita “verificación” para mostrar el supuesto contenido. Ahí es donde empieza el verdadero problema: La página (que se suele mostrar suplantando a una de nuestra confianza, como Facebook) pide introducir el número de teléfono y seguir unos pasos que parecen normales. 

En realidad, lo que está haciendo es guiar al usuario para que introduzca un código de emparejamiento legítimo de WhatsApp, el mismo que se utiliza para vincular nuevos dispositivos. Sin saberlo, la víctima está autorizando el acceso del atacante a su cuenta desde otro equipo. 

¿Qué consecuencias tiene esto?

Una vez completado el proceso, el delincuente obtiene acceso remoto a WhatsApp a través de un dispositivo vinculado. Puede leer conversaciones, descargar fotos y vídeos, revisar audios, consultar contactos y enviar mensajes haciéndose pasar por la víctima. 

Todo esto ocurre mientras el usuario sigue usando su WhatsApp con normalidad, sin alertas claras ni cierres de sesión evidentes.

 Además de la pérdida de privacidad, los atacantes suelen usar la cuenta comprometida para estafar a amigos y familiares, pedir dinero, enviar enlaces maliciosos o recopilar información sensible que luego puede utilizarse para extorsión. 

En algunos casos, el daño no se detecta hasta que alguien cercano avisa de mensajes sospechosos enviados desde la cuenta.  

¿Cómo evitar caer en esta estafa?

El paso más importante es la desconfianza. La estafa se aprovecha de la confianza que tenemos con el contacto que nos envía el enlace como garantía de seguridad. Además, la apariencia de legítima de la página en la que facilitamos nuestro teléfono hace que no nos pensemos mucho qué estamos haciendo. 

WhatsApp nunca pide códigos ni verificaciones a través de enlaces externos. Cualquier mensaje que invite a introducir datos fuera de la app debe considerarse sospechoso.

También es fundamental revisar periódicamente el apartado de “Dispositivos vinculados” en los ajustes de WhatsApp y cerrar cualquier sesión que no se reconozca. Activar la verificación en dos pasos añade una capa extra de protección que puede frenar este tipo de ataques. 

Este engaño demuestra que las estafas digitales ya no dependen solo de fallos técnicos, sino de engaños cada vez más sofisticados que explotan la confianza del usuario.  Mantenerse alerta es siempre la mejor defensa.