AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**GhostPairing: Ciberdelincuentes secuestran cuentas de WhatsApp explotando el emparejamiento de dispositivos**

admin

### Introducción

En los últimos meses, se ha detectado una sofisticada campaña de secuestro de cuentas de WhatsApp, identificada como “GhostPairing”, en la que actores maliciosos explotan la función legítima de emparejamiento de dispositivos. Este vector de ataque, que aprovecha la funcionalidad pensada para facilitar el acceso multi-dispositivo, plantea nuevos retos para los equipos de ciberseguridad, especialmente en entornos corporativos donde WhatsApp se utiliza para comunicaciones sensibles. En este artículo, analizamos en profundidad cómo funciona GhostPairing, qué riesgos implica y qué acciones deben tomar los profesionales del sector.

### Contexto del Incidente

WhatsApp, propiedad de Meta, ha permitido desde 2021 el uso de múltiples dispositivos vinculados a una misma cuenta de usuario, facilitando que los usuarios accedan a sus mensajes desde ordenadores y tabletas sin requerir conexión constante al teléfono principal. Sin embargo, esta mejora en la experiencia de usuario ha abierto la puerta a nuevos vectores de ataque. GhostPairing se aprovecha precisamente de esta funcionalidad, utilizando técnicas de ingeniería social y manipulación para obtener los códigos de vinculación y secuestrar cuentas a gran escala.

Según informes recientes de firmas de ciberseguridad como CloudSEK y ThreatFabric, el volumen de incidentes relacionados con GhostPairing ha crecido exponencialmente desde el segundo trimestre de 2024, afectando a usuarios tanto individuales como corporativos, con especial incidencia en sectores financieros y de telecomunicaciones.

### Detalles Técnicos

El modus operandi de GhostPairing se basa en explotar la funcionalidad de “enlace de dispositivo” (device-linking) de WhatsApp Web/Desktop. El flujo típico comprende los siguientes pasos:

1. **Ingeniería social:** El atacante contacta con la víctima por teléfono, SMS o correo, suplantando a soporte técnico o incluso a un contacto conocido.
2. **Obtención del código de emparejamiento:** Convence a la víctima de que escanee un código QR o comparta el código numérico de vinculación que aparece en su aplicación de WhatsApp.
3. **Emparejamiento remoto:** El atacante introduce el código en su propio dispositivo o navegador, obteniendo acceso persistente a los mensajes de la víctima.

No se requiere la interceptación de SMS ni la explotación de vulnerabilidades del software per se, lo que dificulta la detección por parte de soluciones EDR tradicionales.

#### CVE y TTPs

Hasta la fecha, no se ha asignado un CVE específico, ya que GhostPairing explota el funcionamiento esperado de la funcionalidad. El patrón de ataque se encuadra en las técnicas **T1566 (Phishing)** y **T1056 (Input Capture)** del marco MITRE ATT&CK, con variantes para la obtención de credenciales y persistencia.

#### Indicadores de Compromiso (IoC)

– Conexiones no reconocidas en la sección “Dispositivos vinculados” de WhatsApp.
– Accesos a WhatsApp Web/Desktop desde ubicaciones geográficas inusuales.
– Solicitudes inusuales de códigos de vinculación.

Se han identificado scripts y módulos automatizados en frameworks como Metasploit y Cobalt Strike, adaptados para agilizar el proceso de obtención y uso de los códigos de emparejamiento.

### Impacto y Riesgos

El secuestro de cuentas mediante GhostPairing permite a los atacantes:

– Acceder a conversaciones privadas y grupales, con potencial exfiltración de información confidencial.
– Suplantar a la víctima ante terceros, facilitando fraudes y ataques BEC (Business Email Compromise).
– Propagar enlaces maliciosos o malware a través de la red de contactos.

Según estimaciones, hasta un **15% de los incidentes de secuestro de cuentas en WhatsApp detectados en 2024** están relacionados con GhostPairing. Las pérdidas económicas asociadas a fraudes derivados de este vector superan los **30 millones de euros** en el primer semestre del año. Además, la exposición de datos personales puede acarrear sanciones bajo el **Reglamento General de Protección de Datos (GDPR)** y la inminente **Directiva NIS2**.

### Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo de GhostPairing, se recomienda:

– **Activar la verificación en dos pasos** en WhatsApp, añadiendo un PIN adicional a la cuenta.
– **Monitorizar regularmente los dispositivos vinculados** y cerrar sesiones desconocidas.
– **Concienciar a los usuarios** sobre la importancia de no compartir nunca códigos de emparejamiento ni escanear códigos QR no verificados.
– Implementar políticas de uso seguro de aplicaciones de mensajería en entornos corporativos, restringiendo el uso de WhatsApp a canales oficiales y dispositivos gestionados.
– Utilizar soluciones de monitorización de comportamiento anómalo (UEBA) capaces de detectar accesos irregulares o patrones atípicos de uso.

### Opinión de Expertos

Varios analistas coinciden en que la campaña GhostPairing evidencia la necesidad de revisar las políticas de seguridad asociadas a la autenticación multi-dispositivo. Según **Manuel Suárez, analista SOC de una entidad bancaria española**, “la facilidad con que los atacantes pueden saltarse los mecanismos de verificación tradicionales obliga a las empresas a reforzar la educación del usuario y la supervisión de las aplicaciones de mensajería”.

Por su parte, **María del Mar González, consultora en cumplimiento normativo**, subraya que “la exposición de datos a través de WhatsApp puede ser sancionable bajo GDPR, por lo que es fundamental auditar y limitar su uso en el entorno profesional”.

### Implicaciones para Empresas y Usuarios

La explotación de GhostPairing no solo afecta a usuarios individuales; las organizaciones que dependen de WhatsApp para comunicaciones internas o con clientes están especialmente expuestas a riesgos de fuga de información, fraude y daño reputacional. La tendencia ascendente de ataques dirigidos contra altos cargos (whaling) y departamentos financieros requiere una revisión urgente de las políticas de uso y los controles técnicos.

La falta de alertas automáticas por parte de WhatsApp ante nuevos dispositivos vinculados constituye una debilidad significativa, por lo que se recomienda complementar con soluciones de seguridad perimetral y formación continua.

### Conclusiones

GhostPairing representa una evolución en las técnicas de secuestro de cuentas, explotando funcionalidades legítimas en lugar de vulnerabilidades técnicas. La prevención pasa por la combinación de controles técnicos, políticas restrictivas y formación del usuario final. Ante la sofisticación creciente de las campañas, la colaboración entre CISOs, analistas SOC y departamentos legales será clave para minimizar el impacto y garantizar el cumplimiento normativo.

(Fuente: www.bleepingcomputer.com)