Ciberdelincuentes aprovechan WhatsApp para un fraude basado en la confianza

Ciberdelincuentes aprovechan WhatsApp para un fraude basado en la confianza

Las aplicaciones de mensajería instantánea se han convertido en una pieza central de la comunicación digital en España. WhatsApp, con más de 35 millones de usuarios activos en el país, es una de las plataformas más utilizadas tanto a nivel personal como profesional. Sin embargo, esta popularidad también la convierte en un objetivo prioritario para los ciberdelincuentes. En los últimos meses se ha detectado un nuevo engaño en WhatsApp que está afectando a miles de usuarios y que se basa en la suplantación de identidad y la ingeniería social.

Este fraude destaca por su sofisticación y por el uso de un elemento clave: la confianza. El ataque comienza cuando el usuario recibe un mensaje aparentemente inofensivo de un contacto conocido cuya cuenta ha sido previamente hackeada. El texto suele alertar de que existe una supuesta foto del destinatario en Facebook, acompañada de un enlace para verla. A partir de ahí, se desencadena el robo de la cuenta.

Cómo funciona el nuevo fraude en WhatsApp

El modus operandi de este engaño está diseñado para pasar desapercibido. El mensaje inicial no llega desde un número desconocido, sino desde el perfil de un familiar, amigo o compañero de trabajo. Este detalle reduce las sospechas y aumenta la probabilidad de que la víctima haga clic en el enlace recibido.

Al pulsar sobre el enlace, el usuario es redirigido a una página web que simula ser Facebook. El diseño, los colores y la estructura están cuidadosamente copiados para generar una sensación de legitimidad. Sin embargo, no se trata del sitio oficial. En esta web fraudulenta se solicita introducir el número de teléfono para “iniciar sesión” y poder ver la supuesta imagen.

En realidad, lo que está ocurriendo es un intento de registro encubierto de WhatsApp. Al introducir el número de teléfono, los atacantes activan el proceso real de verificación de la cuenta, lo que provoca que la víctima reciba un SMS con un código de seguridad. Ese código es la clave que los ciberdelincuentes necesitan para tomar el control total de la cuenta.

Por qué este ataque es tan efectivo

Este tipo de estafa se apoya en técnicas clásicas de ingeniería social. Los atacantes juegan con dos emociones muy humanas: la curiosidad y la confianza. Por un lado, el mensaje sugiere la existencia de una imagen personal que la víctima “no puede ver”, generando urgencia. Por otro, el hecho de que el aviso provenga de un contacto conocido reduce las defensas naturales.

Según datos del Instituto Nacional de Ciberseguridad (INCIBE), más del 60 % de los incidentes de ciberseguridad en usuarios particulares están relacionados con engaños que explotan la confianza o la urgencia. En este caso, el fraude combina ambos elementos de forma especialmente eficaz.

Una vez que el atacante obtiene el código SMS, puede acceder a la cuenta de WhatsApp, expulsar al usuario legítimo y utilizar el perfil secuestrado para seguir propagando el engaño entre los contactos. Esto crea un efecto en cadena que multiplica el alcance del ataque en cuestión de minutos.

Qué ocurre cuando pierdes el control de tu cuenta

El acceso no autorizado a una cuenta de WhatsApp va mucho más allá de la simple pérdida del chat. Los ciberdelincuentes pueden acceder al historial de conversaciones, a fotografías, vídeos y documentos compartidos, así como hacerse pasar por la víctima para solicitar dinero o información sensible a otros contactos.

Además, WhatsApp suele estar vinculado a otros servicios digitales, lo que amplía el riesgo para el ecosistema digital del usuario. En algunos casos, la suplantación puede derivar en fraudes económicos, robo de identidad o ataques más complejos dirigidos a empresas o entornos laborales.

Cómo detectar un mensaje sospechoso

Aunque este engaño está bien diseñado, existen señales de alerta que pueden ayudar a identificarlo. Mensajes inesperados que generan urgencia, enlaces acortados o dominios extraños y solicitudes de datos personales son indicios claros de fraude. También es importante recordar que ninguna plataforma legítima solicita códigos de verificación enviados por SMS a través de enlaces externos.

Ante la duda, la recomendación de los expertos en seguridad informática es contactar directamente con la persona que supuestamente envía el mensaje por otra vía, como una llamada telefónica. Este simple paso puede evitar la mayoría de los secuestros de cuentas.

La verificación en dos pasos: una barrera clave

Para protegerse frente a este y otros ataques de suplantación, los especialistas recomiendan activar de inmediato la verificación en dos pasos de WhatsApp. Esta función, disponible en los ajustes de la aplicación, permite crear un PIN personal de seis dígitos que se solicita periódicamente y cada vez que se intenta registrar el número en un nuevo dispositivo.

Este sistema añade una capa de seguridad adicional que no depende únicamente del SMS. Incluso si un atacante consigue engañar al usuario para obtener el código de verificación, no podrá completar el acceso sin conocer el PIN secreto. De este modo, el control final de la cuenta permanece en manos del propietario legítimo.

Buenas prácticas para proteger tu WhatsApp

Además de activar la verificación en dos pasos, existen otras medidas básicas que refuerzan la ciberseguridad. Mantener la aplicación actualizada, desconfiar de enlaces inesperados y no compartir nunca códigos recibidos por SMS son hábitos fundamentales. También es recomendable revisar periódicamente los dispositivos vinculados a la cuenta y cerrar sesiones sospechosas.

La prevención sigue siendo la herramienta más eficaz frente a este tipo de fraudes. Compartir información veraz con familiares y amigos, especialmente con personas menos familiarizadas con la tecnología, contribuye a frenar la propagación de estos engaños y a construir un entorno digital más seguro.

En un contexto de amenazas cada vez más elaboradas, la concienciación y la educación digital son tan importantes como las herramientas técnicas. Estar informado es el primer paso para no caer en la trampa.