El Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) emitió un aviso para los usuarios indios de WhatsApp, advirtiéndoles sobre una nueva función de “vinculación de dispositivos” en la plataforma de redes sociales que podría permitir a los atacantes “secuestrar” cuentas. Dicho esto, una campaña cibernética recientemente identificada llamada ‘GhostPairing’.
El aviso, que tiene una calificación de gravedad “alta”, dice que el ataque comienza cuando la víctima recibe un mensaje como “Hola, mira esta foto”, lo que puede conducir a un “secuestro” completo de la cuenta de WhatsApp del usuario. En particular, CERT-In es el organismo técnico clave del país responsable de abordar los ataques cibernéticos y proteger el espacio en línea de la India.
¿Qué es el ‘emparejamiento fantasma’?
Según la advertencia de CERT-In, GhostPairing permite a los ciberdelincuentes obtener acceso completo a las cuentas de WhatsApp sin necesidad de contraseñas ni cambios de tarjeta SIM.
El método explota la función de anclaje a red del dispositivo de WhatsApp, que permite a los atacantes hacerse cargo de las cuentas mediante el uso de un código de emparejamiento que no requiere una autenticación adecuada.
Una vez que una cuenta es ‘secuestrada’, el atacante la utiliza para enviar mensajes a los contactos de la víctima.
“En pocas palabras, el ataque GhostPairing engaña a los usuarios para que le den al atacante acceso al navegador como un dispositivo oculto y confiable mediante el uso de un código de emparejamiento que parece auténtico”, dijo la agencia en un aviso.
¿Cómo funciona la ‘piratería’?
El ataque comenzó con un mensaje “Hola, mira esta foto” enviado por un contacto aparentemente digno de confianza. El mensaje incluye un enlace que muestra una vista previa al estilo de Facebook.
Al hacer clic en el enlace, se abre un visor de Facebook falso que pide a los usuarios que “verifiquen” su identidad para ver el contenido. En esta etapa, los atacantes hacen un mal uso de la función “vincular dispositivo mediante número de teléfono” de WhatsApp engañando a los usuarios para que ingresen su número de teléfono.
Al completar estos pasos breves y aparentemente inofensivos, la víctima, sin saberlo, le da al atacante acceso completo a su cuenta de WhatsApp. Esto sucede sin contraseñas robadas ni intercambios de SIM, según el aviso.
¿A qué puede acceder un atacante tras un ‘secuestro’?
Una vez que el atacante conecta el dispositivo, obtiene el mismo acceso que WhatsApp Web:
- Pueden leer mensajes sincronizados con sus dispositivos.
- Reciben nuevos mensajes en tiempo real
- Pueden ver fotos, vídeos y notas de voz.
- Pueden enviar mensajes desde la cuenta de la víctima.
- Pueden acceder a chats privados y conversaciones grupales.
¿Qué deberías hacer?
El aviso recomienda varios pasos para reducir el riesgo de que la cuenta se vea comprometida o absorbida:
- No haga clic en enlaces sospechosos, incluso si parecen provenir de contactos conocidos.
- No ingrese su número de teléfono en sitios web externos que afirman estar vinculados a WhatsApp o Facebook.
- Consulte periódicamente las herramientas vinculadas en WhatsApp. Abre WhatsApp y ve a Configuración > Dispositivos vinculados. Si notas un dispositivo que no reconoces, sal de él inmediatamente.
Para organizaciones:
- Ofrezca capacitación en concientización sobre seguridad centrada en ataques dirigidos a aplicaciones de mensajería.
- Realizar la gestión de dispositivos móviles cuando sea relevante.
- Esté atento a señales de intentos de phishing e ingeniería social.
- Se deben implementar protocolos de respuesta a incidentes para una rápida detección y resolución.
