El año 2026 ha arrancado con una nueva campaña de estafas conocida como Ghost Pairing (emparejamiento fantasma) que circula a través de la aplicación WhatsApp. Se trata de un método especialmente sencillo y eficaz, ya que en esta ocasión es el propio usuario quien accede, sin saberlo, a un navegador controlado por un ciberdelincuente a través de un enlace.
La estafa comienza cuando la víctima recibe un mensaje en el que se le alerta de que uno de sus contactos ha encontrado una fotografía en la que aparece. Para comprobar esa supuesta imagen, el usuario pincha en un enlace que, en realidad, da acceso a toda una red organizada de ciberdelincuentes.
Ese enlace fraudulento conduce a una página de inicio de sesión que imita a la habitual de otra red social conocida, Facebook. Una vez allí, se solicita a la víctima que introduzca su número de teléfono y, a continuación, que escanee un código QR desde la aplicación de WhatsApp o introduzca un código numérico que supuestamente confirma el registro con éxito.
De este modo, la propia víctima se conduce a sí misma a esta nueva estafa conocida como GhostPairing. El proceso resulta sencillo y aparentemente creíble, ya que con estos pasos se formaliza una vinculación entre el dispositivo del usuario y el del ciberdelincuente, permitiendo asociar la cuenta principal a hasta cuatro dispositivos.
No es necesario, por tanto, disponer de una contraseña para acceder a los datos de la víctima ni utilizar su teléfono principal. Esta vinculación puede producirse tanto en WhatsApp para Windows como en WhatsApp Web, lo que amplía las posibilidades de actuación de los delincuentes.
La vinculación del ciberdelincuente también se produce en WhatsApp Web
Gracias a este proceso, el ciberdelincuente obtiene acceso también a WhatsApp Web de la víctima. De ahí el nombre de este ataque, Ghost Pairing, según detallan los investigadores de Gen Digital.
Este acceso permite al atacante consultar el historial de conversaciones, recibir mensajes en tiempo real, descargar documentos y archivos multimedia y utilizar el resto de funciones habituales disponibles en esta versión de la aplicación.
Además, el ciberdelincuente puede enviar mensajes haciéndose pasar por la víctima, algo especialmente llamativo, ya que no es necesario duplicar la tarjeta SIM ni robar contraseñas para lograrlo.
¿Cómo podemos evitar el Ghost Pairing y otras estafas?
Para evitar este tipo de estafas, los expertos recomiendan comprobar de forma periódica qué dispositivos están vinculados a nuestra cuenta de WhatsApp. Esta información puede revisarse fácilmente desde el apartado “Dispositivos vinculados” de la aplicación.
También es fundamental desconfiar de enlaces sospechosos o inesperados, incluso cuando proceden de contactos conocidos. Asimismo, se aconseja activar la verificación en dos pasos y cerrar de inmediato cualquier sesión vinculada que resulte sospechosa.
