Ghostpairing. Cómo se pueden colar los malos en el WhatsApp de empresarios y otras personas de interés
Tabla de contenidos

El Ghostpairing es una técnica de ingeniería social que permite a los actores maliciosos acceder al WhatsApp de sus víctimas sin que estas sean conscientes
¿Eres consciente de la información y documentos que recibes y envías a través de WhatsApp? Muchos empresarios, directivos, líderes políticos o profesionales emplean esta aplicación de mensajería instantánea no solo en su ámbito personal, sino también en el empresarial.
Intercambiar información estratégica como propuestas comerciales o novedades aún no reveladas o recibir documentos como contratos, facturas o listados de clientes son prácticas cada vez más habituales. Y los actores maliciosos son conscientes de ello.
Acceder a las conversaciones de WhatsApp de personas de interés es un objetivo que han perseguido durante los últimos años múltiples actores maliciosos.
Fruto de este empeño, en los últimos meses se han detectado campañas que emplean una técnica de ingeniería social novedosa: Ghostpairing.
A través del Ghostpairing, los atacantes consiguen que sus víctimas les permitan vincular sus cuentas de WhatsApp a navegadores controlados por los actores maliciosos. Lo que implica que pueden leer conversaciones, descargarse documentos, escuchar audios e, incluso, tomar el control de las cuentas y enviar mensajes suplantando la identidad de las víctimas.
A continuación, vamos a explicar en qué consiste el Ghostpairing y de qué forma pueden las personas de interés y sus empresas o instituciones hacer frente a esta técnica de ingeniería social.
Ingeniería social, malware, explotación de vulnerabilidades Bluetooth… Distintas vías para un mismo fin: Espiar los móviles de personas de interés
El ciberespionaje a empresarios y personas de interés es una tendencia en el ámbito de la ciberseguridad que ha ido ganando relevancia en este lustro y que se ha focalizado en los teléfonos móviles. ¿Por qué? Hoy en día, los smartphones son, casi, una prolongación de nuestros cuerpos.
Si un ciudadano normal y corriente no se separa de su móvil y gestiona desde él tareas tan sensibles como realizar pagos desde su cuenta bancaria o compartir información con compañeros de trabajo, ver a un empresario o a un directivo sin el teléfono en la mano es casi imposible. En un mundo que discurre a toda velocidad y que se caracteriza por la movilidad y la conexión continua, el móvil se ha convertido casi en un reflejo de nuestra alma.
¿A través de qué vías intentan los actores maliciosos espiar los móviles de personas de interés?
- La ingeniería social para lograr un vector de acceso a los dispositivos.
- El uso de malware como spyware para persistir en los móviles y acceder a aplicaciones especialmente sensibles como las apps bancarias, pero también las de mensajería instantánea como WhatsApp o de correo electrónico.
- La explotación de vulnerabilidades relacionadas con el estándar Bluetooth. Por ejemplo, escuchando conversaciones gracias a debilidades presentes en los cascos inalámbricos o geolocalizando dispositivos. De ahí que la realización de auditorías de seguridad Bluetooth sea fundamental para proteger no solo los móviles, sino todos los dispositivos IoT que se conectan con ellos.
Pues bien, el Ghostpairing supone una innovación en el terreno de la ingeniería social, que sigue la estela trazada por técnicas previas como el robo de cuentas de WhatsApp forzando a las víctimas a facilitar el código de verificación para mover una cuenta de WhatsApp de un móvil a otro.
¿En qué consiste el Ghostpairing?
El Ghostpairing es una técnica mucho más sutil, ya que la víctima no pierde el acceso a su cuenta. Lo que permite a los actores maliciosos poder entrar en las cuentas de WhatsApp de sus víctimas durante días o, incluso, semanas.
Como ya sabrás, muchas personas no usan solo WhatsApp desde su móvil, sino que acceden a la aplicación a través del navegador de su ordenador. Esta práctica es muy común, precisamente, en el ámbito empresarial y laboral, donde se desea estar pendiente del WhatsApp mientras se trabaja con un portátil u ordenador de mesa.
Consciente de ello, WhatsApp permite vincular WhatsApp Web o su aplicación de escritorio con una cuenta abierta en un dispositivo móvil. El proceso es muy sencillo, basta con escanear el QR que aparece en el navegador desde la app. O introducir en la aplicación móvil un código facilitado desde el navegador desde el que se busca usar WhatsApp Web.
¿Cómo son capaces de abusar de este proceso los actores maliciosos a través del Ghostpairing?
- Envían a sus víctimas mensajes por WhatsApp que incluyen un link. En el mensaje se incita a clicar en enlace. Por ejemplo, se apunta a que redirige a una foto en la que la víctima podrá encontrarse.
- El link lleva a la víctima a una página que parece pertenecer al entorno de Meta: Facebook, Instagram, WhatsApp…
- En esta página falsa se pide a la víctima que introduzca un código en su app de WhatsApp o que escanee un código QR si quiere acceder a la fotografía. De esta forma, la propia víctima vincula su cuenta de WhatsApp con el navegador o la aplicación para ordenador que está bajo el control del actor malicioso.
- El atacante puede acceder con total libertad a las conversaciones de la víctima sin que esta sea consciente de ello.

¿Por qué el Ghostpairing puede tener éxito?
El Ghostpairing combina varios factores que contribuyen a que las víctimas sean engañadas con éxito:
- En muchos casos, los actores maliciosos envían los mensajes falsos desde cuentas de WhatsApp legítimas a los contactos con los que dichas cuentas interactúan de forma habitual. Es decir, se produce lo que comúnmente se denomina como efecto bola de nieve. Los atacantes consiguen tomar el control de cuentas de WhatsApp y las usan para propagar su campaña. Al venir el mensaje desde la cuenta de una persona en la que se confía, las víctimas no desconfían.
- Los actores maliciosos recurren a mensajes tan simples, pero tan eficaces como «encuéntrate en esta foto». No podemos olvidar que el éxito inicial de las redes sociales se cimentó, precisamente, sobre la publicación de fotos y en etiquetar en ellas a amigos, familiares o compañeros.
- También se han detectado campañas en las que los actores maliciosos suplantan la identidad de la propia WhatsApp. De tal forma que solicitan a sus víctimas que escaneen un código QR por motivos relacionados con la aplicación. Por ejemplo, verificar la cuenta del usuario o instalar una supuesta actualización de seguridad.
- Las páginas falsas donde se ejecuta el Ghostpairing son extraordinariamente veraces. Presentan una apariencia que no desentona en absoluto con los entornos de Facebook o Instagram.
- Si los actores maliciosos no realizan ninguna acción con las cuentas a las que se han vinculado ilegítimamente, las víctimas no sospechan que sus cuentas hayan sido vulneradas. Lo que implica que la vinculación puede persistir durante el tiempo suficiente como para acceder a información confidencial o robar documentos.
¿Por qué el Ghostpairing es especialmente delicado para empresas e instituciones?
Como venimos de apuntar, el Ghostpairing es una técnica maliciosa que abre de par en par las conversaciones de WhatsApp de las víctimas.
En el caso de un ciudadano común y corriente los chats de WhatsApp no albergan información y documentos especialmente valiosos para los actores maliciosos.
Pero no sucede lo mismo en lo que respecta a los empresarios, directivos, profesionales con cargos de responsabilidad en compañías, líderes políticos, funcionarios públicos de primer nivel u otras personas de interés.
De ahí que el Ghostpairing no suponga una amenaza individual, sino que las empresas e instituciones deban adaptar sus estrategias de seguridad frente a esta técnica de ingeniería social.
Si la información o los documentos compartidos por una persona de relevancia dentro de una organización caen en malas manos, la empresa o institución puede sufrir:
- Suplantación de la identidad de personas y organizaciones para cometer estafas contra sus contactos de WhatsApp.
- Fraudes financieros.
- Extorsión a cambio de no publicar la información, documentos, fotografías, videos o audios recopilados.
- Exfiltración pública de información confidencial o venta de secretos empresariales a la competencia.
- Robo de propiedad intelectual o industrial.
- Consecuencias legales si se revelan datos personales de terceros como clientes, socios o proveedores.
¿Cómo se puede detectar el Ghostpairing?
Si los actores maliciosos usan las cuentas a las que se han vinculado fraudulentamente para enviar mensajes, las víctimas podrán detectar que algo va mal con facilidad.
Sin embargo, si los atacantes actúan de manera sigilosa y se limitan a leer las conversaciones, descargar los archivos compartidos o escuchar los audios enviados y recibidos, las víctimas creen que todo funciona con normalidad.
Por eso, para detectar campañas de Ghostpairing es recomendable que todos los ciudadanos, pero, especialmente, directivos, líderes políticos y otras personas de interés comprueben periódicamente sus dispositivos vinculados en WhatsApp.
Esta acción es muy sencilla. Básicamente, hay que entrar en la app móvil de WhatsApp, pinchar en los tres puntos situados a la derecha de la pantalla y clicar en Dispositivos vinculados. Ahí se mostrarán todas las sesiones activas vinculadas a la cuenta de WhatsApp. Si se detecta una sesión que no ha sido abierta por el usuario, basta con cerrarla para poner fin al ataque de Ghostpairing.
Además, ante el creciente uso del Ghostpairing por parte de actores maliciosos, WhatsApp ha implementado una funcionalidad de alertas sobre dispositivos vinculados que avisa a los usuarios cuando se detecta un intento de vinculación sospechoso para que validen o rechacen la vinculación.

¿Cómo deben actuar las víctimas del Ghostpairing?
Desde el Instituto Nacional de Ciberseguridad de España (INCIBE) recomiendan a las víctimas de Ghostpairing que:
- Realicen una auditoría de sus móviles para comprobar que no se descargó e instaló ningún malware.
- Procedan a cambiar todas las contraseñas que se hayan podido revelar en las conversaciones de WhatsApp.
- Informen a todos los contactos con los que se han mantenido conversaciones desde que se produjo la vinculación fraudulenta de la cuenta.
- Si se ha usado la cuenta de WhatsApp o la información almacenada en ella para realizar fraudes, se recopilen todas las pruebas disponibles y se presente una denuncia ante la Policía Nacional o la Guardia Civil.
Además, es importante señalar que en el caso de la víctima sea un empresario, un directivo o un líder político es crítico informar inmediatamente al equipo a cargo de la ciberseguridad de la organización para que orqueste medidas de respuesta al incidente para minimizar su impacto y evitar que los actores maliciosos persistan en la infraestructura tecnológica de la organización.
¿Cómo se puede prevenir el Ghostpairing?
Para hacer frente a la amenaza que supone el Ghostpairing, las organizaciones pueden:
- Diseñar buenas prácticas en materia de ciberseguridad que incluyan:
- La instalación de las actualizaciones de seguridad lanzadas por la aplicación.
- La limitación del uso de WhatsApp como herramienta para intercambiar información y documentos corporativos.
- La implementación del doble factor de verificación para vincular dispositivos en WhatsApp.
- La prohibición de clicar en enlaces sospechosos, aunque sean enviados por cuentas de confianza sin verificar antes por otra vía que el enlace es verídico.
- La obligación de informar inmediatamente sobre cualquier actividad sospechosa al equipo a cargo de la ciberseguridad de la organización.
- Implementar políticas BYOD (Bring Your Own Device) de forma segura y emplear software MDM para imponer restricciones en los móviles empleados con fines laborales.
- Instalar EDR en los dispositivos corporativos y en los móviles personales que se empleen para trabajar. Esta clase de solución ofrece una detección y respuesta continua ante actividad sospechosa.
- Realizar test de ingeniería social para formar y concienciar a las plantillas sobre las técnicas más innovadoras empleadas por los actores maliciosos como el Ghostpairing.
- Contar con un equipo de respuesta a incidentes proactivo capaz de identificar el alcance del compromiso y orquestar una respuesta eficaz para expulsar a los actores maliciosos y limitar el impacto de los ataques.