WhatsApp se ha consolidado como la principal aplicación de mensajería en España y en buena parte de Europa, y precisamente por eso se ha convertido también en uno de los canales favoritos de los ciberdelincuentes. En los últimos meses, expertos en ciberseguridad, organizaciones de consumidores y fuerzas de seguridad han alertado de una nueva estafa en WhatsApp especialmente peligrosa porque puede pasar totalmente desapercibida para la víctima.
Este fraude, conocido como ghost pairing o “emparejamiento fantasma”, aprovecha la función legítima de WhatsApp que permite usar la misma cuenta en varios dispositivos a la vez. El truco consiste en engañar al usuario para que sea él mismo quien vincule su cuenta de WhatsApp al dispositivo del estafador, sin darse cuenta de que está abriendo la puerta a todas sus conversaciones, fotos y contactos.
Qué es el ghost pairing y por qué es tan peligroso
El llamado ghost pairing se basa en la vinculación de dispositivos que ofrece la propia aplicación: la misma cuenta de WhatsApp puede utilizarse en móviles secundarios, ordenadores o tabletas mediante WhatsApp Web o la app de escritorio. Esta función, pensada para facilitar el uso de la app, se ha convertido en la pieza central de una estafa silenciosa que permite al delincuente “clonar” la cuenta de la víctima.
A diferencia de otras estafas clásicas en WhatsApp, donde los atacantes intentan robarte la cuenta y dejarte fuera bloqueando tu acceso, en el ghost pairing el objetivo es mantener una sesión paralela activa. El estafador logra conectarse a tu cuenta como si fuera un dispositivo más y, mientras tú sigues usando WhatsApp con normalidad, él puede leer todo lo que escribes y recibes sin provocar ningún aviso aparente.
Especialistas en ciberseguridad y organizaciones de consumidores como FACUA han advertido de que, en la práctica, esta técnica actúa como un “secuestro silencioso” de la cuenta. No hace falta duplicar la tarjeta SIM ni conocer la contraseña de tu móvil: basta con manipular al usuario para que complete el proceso de vinculación creyendo que está realizando un procedimiento legítimo.
El resultado es que el ciberdelincuente comparte, en tiempo real, el mismo acceso que tú tienes a la app. Puede ver las conversaciones antiguas, seguir las nuevas, descargar archivos y moverse por tu lista de contactos, todo ello sin levantar sospechas porque tú sigues viendo tu WhatsApp funcionando con total normalidad.
Cómo empieza la estafa: mensajes que parecen legítimos
El primer paso de este fraude es siempre un mensaje que parece completamente inocente. Puede llegarte como un SMS, como una notificación de WhatsApp o incluso desde otra red social, pero el objetivo es el mismo: llevarte a una página web controlada por el estafador o hacer que compartas un código de verificación.
En muchos casos, el mensaje parece provenir del propio WhatsApp o de un servicio conocido. El texto suele avisar de un supuesto problema de seguridad con tu cuenta, de que has iniciado sesión en otro dispositivo o de que “debes verificar tu identidad” para protegerla. El tono juega con la urgencia y la preocupación por tu privacidad, de modo que el usuario tiende a actuar deprisa.
Otras veces, el engaño llega como un mensaje de alguien de tu lista de contactos. Puede ser un familiar, un amigo o un conocido que aparentemente te escribe para decirte algo como: “Oye, creo que te he mandado un código por error, ¿me lo reenvías?” o “mira esta foto en la que sales, entra en este enlace”. En realidad, puede tratarse de una cuenta ya comprometida que los delincuentes usan para seguir extendiendo la estafa.
Un formato detectado por FACUA y por empresas de seguridad como Gen Digital comienza con un mensaje en el que se asegura que te han etiquetado en una fotografía de Facebook o en un concurso de imágenes. El enlace incluido lleva a una web que imita la página de inicio de sesión de la red social, con el objetivo de que la víctima sienta que está en un entorno de confianza y siga los pasos sin sospechar.
También circulan vídeos en TikTok y otras plataformas donde se advierte de mensajes que supuestamente envía WhatsApp para “confirmar que tu cuenta está en riesgo”. El gancho es siempre el mismo: hacerte creer que estás protegiendo tu privacidad cuando, en realidad, estás permitiendo que terceros entren en tu cuenta.
El papel de los enlaces falsos y las webs que imitan servicios conocidos
Cuando el usuario hace clic en el enlace del mensaje, es redirigido a una página falsa que imita a la perfección a un servicio real: suele ser Facebook, pero también puede ser una supuesta web de soporte de WhatsApp o incluso de una entidad conocida. El diseño copia logotipos, colores y textos típicos para que el entorno resulte familiar.
En esa página se le pide introducir su número de teléfono y, a continuación, se le indica que debe completar una “verificación” mediante un código QR o un código numérico. A ojos del usuario, parece un paso normal para confirmar que es el propietario de la cuenta o que “es humano”, como se ve en algunos formularios falsos.
La clave está en que esa supuesta verificación no tiene nada que ver con proteger al usuario: lo que hace en realidad es guiarle durante el proceso legítimo de vinculación de dispositivos de WhatsApp. Es decir, paso a paso, el formulario va provocando que abra WhatsApp, introduzca un código de vinculación o escanee un QR que, en realidad, está asociado al navegador o al dispositivo del ciberdelincuente.
El propio sistema de WhatsApp, tanto en su versión Web como en la aplicación para Windows, permite vincular la cuenta usando el número de teléfono y un código de verificación o un QR. Es precisamente esta opción legítima la que se explota en el ghost pairing: la víctima cree que está iniciando sesión en una web confiable, pero en realidad está autorizando un nuevo dispositivo bajo control del estafador.
Al finalizar el proceso, todo parece haber ido bien: la página falsa puede incluso mostrar un mensaje genérico de éxito o redirigir a otra web inofensiva. El usuario no recibe alertas extrañas, no ve cambios en su WhatsApp y no nota nada raro. Sin embargo, desde ese mismo instante, el atacante tiene una sesión activa de su cuenta funcionando en segundo plano.
Qué puede hacer el ciberdelincuente una vez dentro de tu cuenta
Una vez completado el emparejamiento fantasma, el estafador pasa a tener, a través de WhatsApp Web o de la aplicación de escritorio, prácticamente los mismos privilegios que el usuario legítimo. Esto incluye la consulta del historial de chats, la recepción de nuevos mensajes y el acceso a archivos enviados y recibidos.
Entre las acciones más habituales que se han detectado destacan:
- Leer todas las conversaciones, tanto individuales como de grupo, incluidas aquellas antiguas que sigan almacenadas en la cuenta.
- Descargar fotos, vídeos, notas de voz y documentos que se hayan compartido a través de la aplicación.
- Acceder a la lista de contactos, lo que permite identificar a familiares, amigos y compañeros de trabajo susceptibles de ser engañados después.
- Enviar mensajes suplantando tu identidad, pidiendo dinero, compartiendo nuevos enlaces fraudulentos o solicitando códigos que permitirán extender el fraude a más cuentas.
El verdadero riesgo está en que la víctima no pierde el control de su cuenta en ningún momento. A diferencia de otras estafas en las que el usuario es expulsado de la app y ya no puede iniciar sesión, aquí sigue utilizando su WhatsApp como siempre, lo que hace mucho más difícil detectar el problema a corto plazo.
Durante ese tiempo, el ciberdelincuente puede buscar en los chats información especialmente valiosa: números de tarjeta, datos bancarios, contraseñas anotadas en conversaciones con familiares o capturas de pantalla de correos y extractos bancarios. También puede recopilar fotos íntimas, documentos personales y cualquier otro contenido sensible.
Con esa información en la mano, los atacantes pueden ir más allá del simple acceso a WhatsApp: pueden usar los datos para robar dinero, acceder a cuentas de correo electrónico o realizar otros fraudes, e incluso recurrir a la extorsión si encuentran material comprometedor. Todo ello se apoya en el hecho de que han tenido una ventana de tiempo prolongada para espiar sin ser detectados.
Además, el hecho de poder enviar mensajes en nombre de la víctima facilita la propagación del engaño. Un contacto que recibe un enlace o una petición de ayuda económica desde un número conocido tiene muchas más probabilidades de caer en la trampa, perpetuando así la cadena de estafas.
Otras variantes de estafas en WhatsApp que aprovechan la confianza
Aunque el ghost pairing es una de las modalidades más preocupantes ahora mismo, no es la única nueva estafa en WhatsApp que se está investigando en España y en otros países europeos. Las fuerzas de seguridad han detectado también campañas donde los delincuentes se hacen pasar por bancos, comercios online o servicios técnicos para obtener acceso a información delicada.
En una de estas variantes, la víctima recibe un mensaje en el que alguien se identifica como empleado de su entidad financiera o del departamento de seguridad de un comercio online. Alegan que existe un supuesto problema con su cuenta, un intento de cargo fraudulento o un fallo de seguridad que debe resolverse cuanto antes.
En mitad de esa conversación, el falso trabajador propone ayudar a “proteger el dinero” y solicita que el usuario comparta la pantalla de su móvil o de su ordenador a través de aplicaciones específicas. Se trata de una técnica que, aunque no es exactamente ghost pairing, sigue la misma lógica: aprovechar la confianza y la urgencia para que sea el propio usuario quien les entregue el control.
Si la víctima accede y empieza a escribir contraseñas o códigos de verificación mientras comparte la pantalla, el estafador puede ver en tiempo real cada movimiento. De esta manera le resulta sencillo copiar claves, introducir datos en la banca online o autorizar transferencias sin que la persona sea plenamente consciente de lo que está ocurriendo.
Tanto en el ghost pairing como en estas estafas de “pantalla compartida”, el patrón se repite: se explota la confianza en marcas reconocidas, contactos cercanos o supuestos mensajes oficiales, y se juega con la prisa y el miedo a perder dinero para que la víctima actúe sin pensar demasiado.
Cómo detectar si tu cuenta de WhatsApp está vinculada a un dispositivo extraño
La buena noticia es que la propia aplicación ofrece herramientas para comprobar si alguien ha vinculado tu cuenta a un dispositivo que no reconoces. El apartado clave es el de “Dispositivos vinculados”, disponible tanto en Android como en iPhone.
En móviles Android, basta con pulsar en el icono de los tres puntos de la esquina superior derecha de la pantalla principal de WhatsApp y seleccionar la opción “Dispositivos vinculados”. En iPhone, el acceso se encuentra en la parte inferior de la app, en el icono de “Configuración”, donde también aparece el mismo apartado.
Al entrar, se muestra un listado de todos los ordenadores, navegadores y apps de escritorio que tienen la sesión iniciada con tu cuenta. Si en esa lista aparece algún dispositivo que no reconoces, o una sesión iniciada desde una ciudad o un navegador que no te cuadran, es muy probable que se trate de un acceso no autorizado.
En esos casos, lo recomendable es pulsar sobre ese dispositivo y escoger la opción de “Cerrar sesión” o “Eliminar”. De esta forma, se revoca inmediatamente el acceso al ciberdelincuente. Además, conviene revisar de nuevo el listado al cabo de unos minutos para confirmar que no reaparecen sesiones sospechosas.
Si, además, has detectado comportamientos extraños en tu cuenta —como mensajes enviados que tú no recuerdas, contactos que te dicen que has compartido enlaces raros o avisos de intentos de verificación—, es prudente ir un paso más allá y activar la verificación en dos pasos, además de cambiar contraseñas asociadas a otros servicios donde hayas podido reutilizar datos.
Consejos clave para no caer en el emparejamiento fantasma
Las autoridades y los expertos coinciden en varias recomendaciones básicas para reducir al mínimo el riesgo de caer en el ghost pairing u otras estafas similares que se propagan por WhatsApp:
- No compartas nunca códigos de verificación de WhatsApp, ni por mensaje ni por llamada, aunque te los pida alguien de confianza. Si recibes un código que no esperabas, ignóralo.
- Desconfía de cualquier mensaje que te pida devolver un código, clicar en un enlace urgente o “verificar tu cuenta” fuera de la propia aplicación.
- Evita introducir códigos o escanear QR que no procedan de los canales oficiales de WhatsApp o de servicios que hayas solicitado tú mismo.
- Revisa con frecuencia el apartado “Dispositivos vinculados” y cierra cualquier sesión que no recuerdes haber iniciado.
- Activa la verificación en dos pasos en los ajustes de WhatsApp para añadir una capa adicional de seguridad a tu cuenta.
- Desconfía incluso de enlaces que vengan de contactos conocidos: pueden haber sido víctimas antes que tú y estar reenviando la estafa sin saberlo.
FACUA y otros organismos de defensa del consumidor insisten en que WhatsApp no solicita códigos ni verifica identidades a través de enlaces externos o formularios ajenos a la app. Cualquier mensaje que afirme lo contrario debería encender todas las alarmas.
Además, los cuerpos de seguridad recomiendan que, ante la mínima sospecha de haber sido víctima de una estafa, se presente denuncia cuanto antes y se conserve toda la información posible: capturas de pantalla de los mensajes, enlaces recibidos y cualquier dato que pueda ayudar a los investigadores a rastrear la campaña.
En un contexto donde WhatsApp se ha convertido en una pieza central de la vida diaria, desde conversaciones personales hasta gestiones laborales, estas nuevas estafas basadas en el ghost pairing demuestran que no basta con vigilar los movimientos bancarios: también es fundamental controlar quién puede asomarse a nuestras conversaciones y qué permisos concedemos casi sin pensar. Mantener la desconfianza sana, revisar de forma periódica los dispositivos vinculados y no ceder ante la presión de mensajes urgentes se ha vuelto clave para seguir usando la aplicación con tranquilidad.
