Los investigadores de seguridad de Avast han descubierto una nueva campaña de la estafa GhostPairing que afecta a los usuarios de WhatsApp en todo el mundo. Esta estafa, descubierta por primera vez a finales de 2025, está ingeniosamente diseñada para convencer a los usuarios de que den voluntariamente a los atacantes acceso a su cuenta de WhatsApp, sin romper el cifrado, engañando a la víctima para que autorice el dispositivo del atacante. Los investigadores de Avast protegieron a miles de personas de esta nueva campaña de GhostPairing. Brasil es uno de los 20 países más afectados del mundo.

La nueva campaña de GhostPairing comienza con una petición proveniente de un contacto de confianza, instando a las personas a votar en un concurso: “¿Podrías votar por la hija de mi amigo?”. Tras hacer clic en el enlace, son redirigidos a una página de votación falsa. Aquí es donde se complica: para poder votar, se pide a los usuarios que inicien sesión. En lugar de un inicio de sesión normal para votar, las víctimas son engañadas para completar pasos que en realidad vinculan el dispositivo del atacante a su cuenta de WhatsApp.

De esta manera, los estafadores pueden acceder a las conversaciones, fotos y contactos de la víctima, y utilizar la cuenta tal como el propietario original. ¿La parte más aterradora? El dispositivo sigue funcionando normalmente, por lo que las víctimas pueden incluso no darse cuenta de que alguien más ha secuestrado su WhatsApp. Los estafadores también pueden usar la cuenta comprometida para propagar la estafa a los contactos de la víctima, creando un efecto de bola de nieve.