Alerta del INCIBE por ‘Ghostpairing’: el nuevo método para espiar tu WhatsApp sin que te des cuenta

El Instituto Nacional de Ciberseguridad ha activado la alarma por el 'Ghostpairing', una técnica que permite a los ciberdelincuentes espiar todos tus mensajes sin que notes nada raro en tu móvil. Aquí te explicamos exactamente cómo funciona la trampa y qué debes hacer ahora mismo para protegerte.

Tu WhatsApp puede estar siendo espiado en este momento y tú sin saberlo. El INCIBE ha emitido una alerta oficial sobre el ‘Ghostpairing’, una técnica de fraude que permite a los ciberdelincuentes vincular tu cuenta a otro dispositivo sin que pierdas el acceso y sin que recibas ninguna notificación de aviso. Lo más inquietante no es que entren: es que pueden llevar semanas dentro mientras tú sigues usando la app con total normalidad.

El modus operandi es tan sencillo como efectivo: todo empieza con un mensaje de un contacto conocido —cuya cuenta ya ha sido robada— que dice algo como «¿Eres tú el de la foto?» o «Mira, creo que sales tú aquí». Un cebo que, según el INCIBE, desactiva casi por completo nuestro filtro de sospecha precisamente porque viene de alguien de confianza. Un clic, y el daño ya está hecho.

Cómo el INCIBE explica el mecanismo del ‘Ghostpairing’

Youtube video

Al pulsar el enlace, la víctima llega a una página web falsa que imita a la perfección servicios de Meta como Facebook o Instagram. La web solicita el número de teléfono y, sin que el usuario lo sepa, le guía para completar el emparejamiento de su cuenta de WhatsApp con un dispositivo controlado por el atacante, exactamente igual que cuando conectamos la app a WhatsApp Web desde el ordenador. El proceso usa los propios menús oficiales de la aplicación, lo que hace que el cerebro lo interprete como un paso de verificación rutinario.

Publicidad

Una vez dentro, el ciberdelincuente tiene acceso total al historial de conversaciones, fotos, audios y documentos en tiempo real. Además, puede enviar mensajes haciéndose pasar por la víctima para extender la trampa a toda su agenda de contactos. El INCIBE subraya que este ataque, a diferencia de los métodos tradicionales, no requiere interceptar ningún código SMS de verificación, lo que lo hace especialmente difícil de detectar.

Qué diferencia al ‘Ghostpairing’ de otras estafas en WhatsApp, según el INCIBE

El INCIBE advierte de que la peculiaridad más peligrosa del ‘Ghostpairing’ es que el propietario de la cuenta no pierde el acceso a su propio WhatsApp. En los fraudes tradicionales, la víctima se quedaba sin poder entrar a la app, lo que actuaba como señal de alarma inmediata. Aquí no hay ninguna señal: el móvil funciona con total normalidad.

Esa invisibilidad es, precisamente, lo que convierte a esta técnica en la más sofisticada de las detectadas hasta ahora en España. Al tratarse de una sesión web legítima —igual que la que abre cualquiera al conectarse a WhatsApp Web desde el trabajo—, el sistema no la identifica como una intrusión. El atacante puede permanecer conectado durante semanas o meses, leyendo conversaciones íntimas, datos bancarios compartidos por chat o información corporativa sensible.

Cómo saber si ya eres víctima del ‘Ghostpairing’

Youtube video

La comprobación es rápida y está al alcance de cualquiera. Solo hay que abrir WhatsApp, ir a los ajustes de la aplicación y entrar en el apartado «Dispositivos vinculados». Si aparece algún dispositivo que no reconoces —un navegador, un ordenador, una sesión desde una ubicación desconocida—, es muy probable que alguien haya accedido a tu cuenta sin permiso. En ese caso, el INCIBE recomienda cerrar de inmediato esa sesión y seguir los pasos del protocolo de respuesta.

Si confirmas que has sido víctima, el organismo aconseja cambiar las contraseñas de todos los servicios que hayan podido quedar expuestos a través de los chats, analizar el dispositivo con un antivirus actualizado y, si ha habido suplantación de identidad activa, recopilar pruebas digitales para interponer denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado.

Las cuatro medidas que el INCIBE pide activar ya

Activa la verificación en dos pasos

Es la protección más efectiva contra el ‘Ghostpairing’. En WhatsApp, entra en Ajustes → Cuenta → Verificación en dos pasos y establece un PIN de seis dígitos. Sin ese código, ningún atacante puede completar el emparejamiento aunque la víctima siga los pasos del enlace fraudulento.

Publicidad

Revisa los dispositivos vinculados con regularidad

El INCIBE insiste en que esta revisión debería convertirse en un hábito mensual, igual que se revisa el extracto bancario. Unos segundos en el apartado «Dispositivos vinculados» pueden ser la diferencia entre detectar una intrusión a tiempo o dar acceso durante meses a un desconocido.

Qué debes hacer si recibes un enlace sospechoso

El protocolo del INCIBE ante este tipo de mensajes es claro y no admite medias tintas: nunca abrir enlaces que lleguen por WhatsApp sin verificar antes su autenticidad, aunque provengan de un contacto conocido. Si alguien de tu agenda te envía un enlace que no esperabas, lo más seguro es llamarle por teléfono —no responder al propio WhatsApp— para confirmar que lo ha enviado él realmente.

Las cuatro reglas básicas que el organismo recuerda frente al Ghostpairing son:

  • No abrir enlaces de procedencia dudosa aunque vengan de contactos conocidos.
  • No compartir códigos recibidos por SMS con nadie bajo ninguna excusa.
  • Mantener el sistema operativo y el antivirus siempre actualizados.
  • Llamar al 017, la línea gratuita del INCIBE, ante cualquier duda o incidencia.

El INCIBE y el futuro de estas amenazas en WhatsApp

Los expertos en ciberseguridad advierten de que el ‘Ghostpairing’ no es un caso aislado, sino la evolución natural de una tendencia que solo va a crecer. El INCIBE gestionó más de 122.000 incidentes en 2025, un 26% más que el año anterior, y la mitad de las consultas a su línea 017 llegaban de personas que ya habían caído en la trampa. Los atacantes perfeccionan sus técnicas más rápido de lo que la mayoría de usuarios actualiza sus hábitos de seguridad.

La buena noticia es que las herramientas de defensa existen y son gratuitas: la verificación en dos pasos, la revisión periódica de sesiones activas y el simple hábito de desconfiar de los enlaces inesperados bastan para neutralizar el ‘Ghostpairing’. El INCIBE lo tiene claro: en ciberseguridad, la mejor defensa siempre es el conocimiento previo, no la reacción posterior.