Cómo recuperar una cuenta de WhatsApp hackeada y protegerla

Inicio » Windows » Cómo recuperar una cuenta de WhatsApp hackeada y protegerla

Que te roben la cuenta de WhatsApp no es solo un fastidio: hoy en día puede convertirse en un auténtico quebradero de cabeza. Hablamos de una app donde guardamos conversaciones personales, datos sensibles, fotos, vídeos y el contacto directo con familia, amigos, trabajo y hasta bancos. Cuando un ciberdelincuente se hace con tu cuenta, no solo puede leer parte de tu actividad actual, también puede suplantar tu identidad para engañar a tus contactos y sacarles dinero o información.

En los últimos años los ataques contra cuentas de WhatsApp han crecido, aprovechando técnicas de ingeniería social, robos de SIM, malware y descuidos a la hora de compartir códigos de verificación. La buena noticia es que, si actúas rápido y sigues una serie de pasos concretos, puedes recuperar el control, limitar los daños y blindar tu perfil para que no vuelva a ocurrir. En esta guía encontrarás una explicación detallada, paso a paso, de cómo detectar si te han hackeado, cómo recuperar tu cuenta, cómo avisar a tu entorno y qué ajustes de seguridad conviene activar.

Señales claras de que tu cuenta de WhatsApp puede estar hackeada

Antes de entrar en pánico, conviene saber reconocer los indicios de que alguien está usando tu cuenta. A veces el ataque es evidente, pero muchas otras pasa desapercibido hasta que algún amigo te avisa.

Una de las pistas más habituales es que recibas respuestas a mensajes que tú nunca has enviado. Puede que entres a un chat y veas que tu interlocutor contesta a algo que no recuerdas haber escrito, o que encuentres conversaciones “raras” en las que supuestamente has participado sin ser consciente.

También es frecuente que tus contactos te comenten que les llegan mensajes extraños desde tu número: peticiones de dinero urgente, enlaces sospechosos, supuestos regalos, sorteos, encuestas o historias dramáticas para presionarles. Si varias personas te dicen que “les estás escribiendo algo raro”, tómatelo muy en serio.

Otra señal típica es que aparezcan mensajes enviados y luego eliminados en chats donde tú no has hecho nada. Verás el aviso de “mensaje eliminado” en conversaciones en las que no recuerdas haber escrito previamente, lo cual puede indicar que el atacante está probando mensajes y borrándolos para no dejar rastro claro.

Debes sospechar también si recibes códigos de verificación de WhatsApp que no has solicitado. Esto suele significar que alguien está intentando registrar tu cuenta en otro dispositivo, y WhatsApp te envía el código al móvil para confirmar que realmente eres tú. Si no eres tú, nunca compartas ese código.

Más síntomas preocupantes son que aparezcan estados o historias que tú no has publicado, cambios en tu foto de perfil, tu nombre o tu descripción, o que te veas metido en grupos a los que no recuerdas haberte unido. Todos son indicios de que alguien está interactuando con tu cuenta sin tu consentimiento.

Por último, la señal más evidente: pierdes el acceso y la app indica que tu cuenta se está usando en otro dispositivo. Si al abrir WhatsApp te devuelve a la pantalla de inicio y te informa de que tu número ya está registrado en otro teléfono, es casi seguro que alguien ha secuestrado tu cuenta recreándola en su propio dispositivo.

Cómo consiguen hackear una cuenta de WhatsApp

Para entender cómo protegerte y cómo recuperar tu cuenta, viene bien tener claro de qué formas suelen atacarla los ciberdelincuentes. No se trata tanto de “magia hacker” como de aprovechar despistes y engaños.

El método más común es la ingeniería social o phishing. El atacante inicia el registro de tu número en su móvil y, cuando tú recibes el SMS con el código de verificación de seis dígitos, te escribe haciéndose pasar por soporte de WhatsApp, por tu operador, por un amigo o por algún servicio de confianza. El objetivo es convencerte para que le reenvíes ese código con alguna excusa: que tu cuenta está en peligro, que hay que verificar que eres tú, que si no lo haces se borrará tu perfil, etc.

Otro ataque muy peligroso es el duplicado de tarjeta SIM o SIM swapping. En este caso, los delincuentes obtienen previamente tus datos personales (nombre, DNI, dirección, quizá respuestas a preguntas de seguridad) y contactan con tu operador móvil haciéndose pasar por ti. Si convencen a la compañía, logran que tu número se asigne a una nueva SIM bajo su control. A partir de ahí, reciben todas tus llamadas y SMS, incluidos los códigos de verificación de WhatsApp.

También existe la vía del acceso físico a tu teléfono. Si alguien tiene tu móvil desbloqueado durante unos minutos, puede vincular tu cuenta a WhatsApp Web o a la versión de escritorio escaneando un código QR, o incluso instalar apps maliciosas que le den acceso posterior. Por eso es tan importante proteger el terminal con PIN, huella o reconocimiento facial y no dejarlo al alcance de cualquiera.

Además, circulan versiones falsas o modificadas de WhatsApp que prometen funciones extra, “WhatsApp Gold” y cosas similares. En realidad, muchas de estas aplicaciones son un gancho para instalar malware o espiar tus mensajes. Descargar APKs desde fuentes no oficiales es una puerta abierta a los problemas.

No hay que olvidar el papel del spyware y otro malware. Un enlace malicioso en un mensaje de WhatsApp, un correo o una web puede llevarte a instalar sin querer software espía que registre lo que haces en el móvil, intercepte notificaciones, lea SMS y, en consecuencia, permita a un atacante conseguir tus códigos de verificación y controlar también otras cuentas ligadas a tu número o tu correo.

Dos formas principales de secuestrar tu cuenta: dispositivos vinculados y re-registro

Cuando hablamos de una cuenta de WhatsApp comprometida, normalmente el atacante ha logrado tomar el control de una de estas dos maneras que aprovechan el propio funcionamiento de la aplicación.

La primera consiste en añadir un dispositivo mediante la función “Dispositivos vinculados”. En este escenario tú sigues teniendo acceso normal a la app en tu móvil, pero hay uno o varios equipos adicionales (ordenadores, tablets, navegadores) con sesión activa. El delincuente ve tus chats recientes, puede leer y enviar mensajes como si fueras tú, y todo sin que pierdas el acceso en tu teléfono principal.

La segunda vía es volver a registrar tu cuenta en otro móvil, como si hubieras cambiado de dispositivo. En este caso, el atacante introduce tu número, obtiene tu código de verificación por alguno de los métodos que hemos visto y completa el registro en su smartphone. Como WhatsApp solo permite una cuenta activa por número en un teléfono principal, tú quedas desconectado y, al intentar entrar, te avisa de que tu cuenta se está usando en otro dispositivo.

Cuando ocurre este segundo supuesto, pierdes el acceso inmediato a tu cuenta hasta que consigas volver a registrarla tú. El atacante maneja tu perfil, puede cambiar ajustes de seguridad, activar la verificación en dos pasos para bloquearte la recuperación, enviar mensajes a tus contactos, crear estados falsos o unirse a grupos en tu nombre.

En ninguno de estos casos el delincuente ve por arte de magia todo tu historial antiguo si no está restaurando una copia de seguridad que solo tú puedes tener en tu Google Drive, iCloud o almacenamiento local. Pero sí puede acceder a los mensajes que se vayan generando a partir del momento del secuestro y, sobre todo, usar tu identidad para engañar a terceros. Si no tienes copia, consulta cómo recuperar conversaciones sin copia de seguridad.

Qué hacer paso a paso si te han hackeado el WhatsApp

Si sospechas que tu cuenta está comprometida, el tiempo juega en tu contra. Conviene actuar en este orden para recuperar el control y cortar el acceso a los atacantes lo antes posible.

1. Asegúrate de que tu SIM está en tu móvil

Lo primero es confirmar que la tarjeta SIM asociada a tu número sigue bajo tu control. Comprueba que tienes cobertura, que puedes hacer y recibir llamadas y SMS y que, en principio, nadie ha hecho un duplicado a tus espaldas. Si notas algo raro (sin servicio, mensajes extraños de la operadora, etc.), contacta con tu compañía móvil cuanto antes.

2. Intenta abrir WhatsApp en tu teléfono

Con la SIM en su sitio, abre la aplicación. Pueden pasar dos cosas: que la app se inicie normalmente, o que te devuelva a la pantalla de registro indicando que tu número ya está en uso en otro dispositivo y que debes volver a registrarte.

3. Si puedes entrar con normalidad: cierra todos los dispositivos vinculados

En el caso de que la app funcione, es probable que el problema sea un acceso paralelo a través de WhatsApp Web o de la versión de escritorio. Para eliminarlo, ve a Ajustes > Dispositivos vinculados (en Android entra primero en el menú de los tres puntos). Ahí verás la lista de equipos conectados a tu cuenta.

Revisa con calma cada entrada y, si no reconoces un dispositivo, una ubicación o una fecha de último acceso, pulsa sobre él y selecciona “Cerrar sesión”. Lo más seguro es cerrar sesión en todos, incluso aunque te suenen, y así empezar desde cero. Esto desconectará a cualquier intruso que estuviera espiando tus chats desde otro aparato.

4. Si WhatsApp te pide registrarte de nuevo

Si al abrir la app te dice que tienes que registrar otra vez la cuenta, significa que alguien ha completado el proceso en otro móvil. Para recuperar el control introduce tu número en formato internacional, solicita el código de verificación y espera el SMS o la llamada de voz automática.

Cuando recibas el código, introdúcelo en WhatsApp. Si tenías configurada la verificación en dos pasos, la app también te pedirá el PIN de seis dígitos que estableciste en su momento. Una vez validados código y PIN, se cerrarán todas las sesiones activas de tu cuenta en cualquier otro dispositivo, incluido el teléfono del atacante.

Si guardabas copia de seguridad en Google Drive, iCloud o en el almacenamiento local, WhatsApp te ofrecerá restaurar tus chats y ajustes. Acepta la restauración para recuperar el máximo posible de conversaciones y configuraciones previas al incidente.

5. ¿Y si han activado un PIN de verificación en dos pasos que no conoces?

En algunos ataques, una vez dentro de tu cuenta, los ciberdelincuentes activan por su cuenta la verificación en dos pasos y crean un PIN que tú desconoces para impedir que vuelvas a iniciar sesión. En este caso, después de introducir el código de verificación por SMS, WhatsApp te pedirá un PIN que no sabes.

En esa pantalla, pulsa en “¿Olvidaste el PIN?”. Si tu cuenta tenía asociada una dirección de correo electrónico, recibirás un email con un enlace para restablecer ese PIN. Abre el correo más reciente de WhatsApp, entra en el enlace y confirma que quieres restablecer. A partir de ahí podrás elegir un nuevo PIN y recuperar el acceso.

Si no tienes correo asociado, puedes solicitar de todos modos el reseteo del PIN, pero deberás esperar siete días con la cuenta bloqueada hasta que el sistema elimine la verificación en dos pasos. Pasada esa semana, podrás volver a iniciar sesión con tu número y el código de SMS, y se expulsará al atacante que estuviera usando tu cuenta.

Qué hacer si WhatsApp limita o bloquea tu cuenta por spam

Es relativamente habitual que, si los delincuentes han usado tu perfil para enviar spam masivo o estafas, los sistemas automáticos de WhatsApp marquen tu número y lo restrinjan temporalmente. Puedes encontrarte con que, tras recuperar tu cuenta, no te deja enviar mensajes durante unas horas o días.

En estos casos, debajo del aviso de restricción suele aparecer un botón del tipo “Solicitar una revisión”. Tócalo para enviar una petición a soporte indicando que tu cuenta fue comprometida y que ya has recuperado el control. El levantamiento del bloqueo no es inmediato: según los algoritmos internos, puede tardar desde unas horas hasta unos tres días, y por desgracia no hay forma de acelerarlo.

Habla con tus contactos: evitar daños colaterales

Cuando alguien entra en tu cuenta, lo realmente peligroso es que pueda hacerse pasar por ti ante tus amigos, familia, compañeros de trabajo o incluso clientes. Por eso es fundamental avisar cuanto antes para que nadie caiga en la trampa.

Lo ideal es que contactes con las personas más cercanas por llamada de teléfono tradicional u otros canales (correo, SMS, redes sociales) explicando que tu WhatsApp ha sido hackeado y que no deben hacer caso a ningún mensaje raro, solicitud de dinero, enlaces extraños o historias dramáticas que les hayan podido llegar desde tu número.

También puedes usar tu propio WhatsApp, una vez recuperado, para publicar un estado informativo: ve a Ajustes, toca en tu nombre y en el campo “Info” escribe un aviso claro, del estilo “Me han robado la cuenta de WhatsApp. Si recibes mensajes raros o piden dinero, ignóralos”. Repite un mensaje similar en otras redes sociales que utilices con frecuencia.

Si estás en grupos de empresa, de padres del cole, equipos deportivos o asociaciones, merece la pena enviar un mensaje general explicando lo ocurrido para que nadie se lleve un susto ni dé por buenas instrucciones, enlaces o archivos que hayan llegado mientras la cuenta estaba en manos ajenas.

Contactar con soporte de WhatsApp y tu operadora

Además de recuperar tú mismo el acceso, en algunas situaciones interesa notificar oficialmente el incidente y pedir ayuda adicional.

Si crees que hay un duplicado de tu SIM o notas que de repente tu móvil se queda sin servicio sin razón aparente, llama de inmediato a tu operador. Pide que comprueben si se ha emitido recientemente un duplicado de tarjeta, que anulen cualquier SIM sospechosa y que refuercen la seguridad de tu línea con una contraseña extra o medidas que requieran tu presencia física en tienda para cambios importantes.

En cuanto a WhatsApp, puedes contactar con soporte desde la propia app entrando en Ajustes > Ayuda > Servicio de ayuda > Contáctanos, y describir el problema (por ejemplo: “Creo que han hackeado mi cuenta y la han usado para estafas”). Desde la web, también existe un formulario de contacto en whatsapp.com/contact.

Otra vía, especialmente útil si te han robado el móvil y no tienes acceso al dispositivo, es enviar un correo a support@whatsapp.com pidiendo que desactiven temporalmente tu cuenta. En el asunto puedes indicar algo como “Teléfono robado/extraviado: Por favor, desactiva mi cuenta” e incluir en el cuerpo del mensaje tu número con prefijo internacional.

Si además sospechas que el hackeo forma parte de un fraude económico o de una estafa a terceros, plantea presentar denuncia ante la policía o el cuerpo competente en tu comunidad. Llevar capturas de pantalla, correos, mensajes y cualquier información de tu operador puede ayudar en la investigación.

Protección avanzada: cómo blindar tu cuenta de WhatsApp para el futuro

Una vez que has conseguido recuperar tu cuenta (o incluso antes, si todavía no has tenido problemas), es el momento de reforzar la seguridad al máximo. La idea es que, aunque un atacante consiga tu número o intente engañarte, lo tenga mucho más difícil.

Activa la verificación en dos pasos y memoriza tu PIN

El ajuste más importante es la verificación en dos pasos de WhatsApp. Se activa desde Ajustes > Cuenta > Verificación en dos pasos. Ahí eliges un PIN de seis dígitos que tendrás que introducir de vez en cuando y siempre que registres tu cuenta en un dispositivo nuevo.

Este PIN debe ser fácil de recordar para ti pero difícil de adivinar para cualquiera que te conozca. Nada de fechas evidentes, matrículas, DNI o patrones tipo 123456. Y, sobre todo, jamás lo compartas con nadie, ni aunque digan ser soporte técnico, la policía o tu banco. Quien te pida ese PIN, está intentando engañarte.

Es muy recomendable añadir también una dirección de correo electrónico de recuperación al configurar la verificación en dos pasos. De este modo, si olvidas el PIN o si un atacante activa uno nuevo, podrás restablecerlo mediante un enlace que te llegará a esa cuenta de correo.

Claves de acceso y bloqueo biométrico

En muchas versiones actuales, WhatsApp ofrece la opción de usar claves de acceso (passkeys) y bloqueo biométrico. Si las activas, para iniciar sesión o abrir la app tendrás que usar tu huella dactilar, reconocimiento facial o el código de desbloqueo del móvil, y en lugar de guardarse un simple PIN se almacena una clave criptográfica más robusta.

Esta medida es especialmente útil si alguien coge tu móvil físicamente, porque no le bastará con tener el teléfono desbloqueado para entrar en tus chats, sino que necesitará el método biométrico configurado. Según el modelo y el sistema, puedes encontrar estas opciones en Ajustes > Privacidad > Bloqueo de aplicación o en el apartado de seguridad de la cuenta.

Revisar dispositivos vinculados con frecuencia

Conviene acostumbrarse a revisar, de vez en cuando, la sección de Dispositivos vinculados en WhatsApp. Igual que uno mira los movimientos bancarios de tanto en tanto, echar un vistazo a las sesiones abiertas ayuda a detectar accesos extraños a tiempo.

Si ves navegadores, sistemas operativos o ubicaciones que no te cuadran, cierra sesión sin dudarlo. Y si alguien más usa tu ordenador, intenta no dejar abiertas tus sesiones de WhatsApp Web o, mejor aún, usa siempre el cierre de sesión al terminar.

Proteger tu correo electrónico y evitar el SIM swapping

Tu cuenta de correo y tu línea móvil son los dos pilares sobre los que se apoyan la mayoría de recuperaciones de cuentas. Por eso es vital que tu email tenga una contraseña robusta y única y que tenga también activada su propia autenticación en dos pasos. Un gestor de contraseñas puede ayudarte a crear claves largas y complejas sin tener que memorizarlas todas.

Respecto a la línea móvil, habla con tu operador para preguntar qué medidas de seguridad adicionales ofrecen: contraseña de atención telefónica, bloqueo de duplicados de SIM sin presencia física, alertas por SMS cuando se tramita un cambio, etc. Cada compañía y país tiene procedimientos distintos, pero casi siempre se puede reforzar un poco más la protección.

Mantén tus dispositivos libres de malware

Aunque tengas todos los ajustes de WhatsApp perfectos, si tu móvil u ordenador están infectados, el atacante puede saltarse muchas barreras. Por eso es tan importante instalar solo aplicaciones desde las tiendas oficiales, mantener el sistema operativo actualizado, desconfiar de enlaces y adjuntos sospechosos y considerar el uso de soluciones de seguridad que bloqueen sitios maliciosos y software espía.

Ten especial cuidado con los enlaces y códigos QR que te prometen premios, regalos, inversiones milagrosas o versiones “premium” de WhatsApp. Antes de pulsar, pregúntate si tiene sentido, si lo esperabas y si la persona que lo envía es quien dice ser. Ante la duda, mejor no abrir.

Estafas habituales ligadas a WhatsApp que deberías conocer

El secuestro de cuentas es solo una pieza más dentro del ecosistema de estafas que se mueven a través de WhatsApp. Conocer las más comunes te ayuda a reconocerlas a la primera y evitar caer.

Es muy frecuente la llamada “estafa del familiar o amigo en apuros”: alguien se hace pasar por tu hijo, tu sobrino o un amigo muy cercano, te dice que ha perdido el móvil y que te escribe desde un número nuevo, y al poco te pide una transferencia urgente porque tiene un problema grave. Se aprovechan de la confianza y la prisa para que no te pares a comprobar nada.

Otra variante son las tarjetas regalo y cupones falsos: te llegan mensajes que supuestamente provienen de grandes marcas y te ofrecen vales o descuentos si pinchas en un enlace o reenvías el mensaje a tus contactos. Normalmente son páginas de phishing para robarte datos o instalarte malware.

También proliferan los premios de lotería y sorteos inexistentes, las supuestas oportunidades de inversión, especialmente en criptomonedas, o las ofertas de trabajo “demasiado buenas para ser verdad”. Todos estos esquemas buscan que pagues unas “tasas” iniciales, que entregues tu información bancaria o que cedas copias de tu documentación.

Incluso hay campañas que promocionan una supuesta versión exclusiva de WhatsApp, tipo WhatsApp Gold, que en realidad enlaza con descargas maliciosas. Si instalas ese software desde fuentes no oficiales, te arriesgas a que tomen el control de tu dispositivo y, de rebote, de tus cuentas.

La mejor defensa es la sospecha sana: si algo te huele raro, verifícalo por otro canal. Llama a la persona, contacta directamente con la empresa, entra tú mismo en la web oficial en lugar de seguir enlaces acortados o extraños y, si sigue sin cuadrarte, ignóralo y bloquea al remitente.

Si alguna vez notas actividad rara en tus chats, inicios de sesión inesperados, solicitudes de códigos o cambios de configuración que no reconoces, piensa que es muy probable que alguien esté intentando entrar en tu cuenta. Actuar rápido, no compartir nunca códigos ni PIN y reforzar los ajustes de seguridad marcan la diferencia entre un susto pasajero y un problema serio para ti y para tus contactos.