- La estafa de secuestro de cuentas de WhatsApp se basa en conseguir tu código de verificación para registrar tu número en otro dispositivo.
- Los delincuentes se hacen pasar por soporte oficial, contactos cercanos o responsables de empresa para ganar tu confianza y pedir códigos o dinero.
- Activar la verificación en dos pasos y no compartir jamás códigos de seguridad son las medidas básicas para proteger tu cuenta.
- Si ya has sido víctima, intenta recuperar el acceso, avisa a tus contactos, recopila pruebas y denuncia ante la Policía y organismos de ciberseguridad.
WhatsApp se ha convertido en el canal de comunicación favorito de millones de personas en España y en todo el mundo. Precisamente por eso, los ciberdelincuentes lo han puesto en el punto de mira y están explotando cada vez más fraudes que no solo roban dinero, sino que directamente secuestran cuentas para suplantar la identidad de las víctimas.
En los últimos tiempos se ha disparado una estafa que secuestra cuentas de WhatsApp usando un simple código de seis dígitos. El truco es sencillo pero muy efectivo: engañan al usuario para que entregue su propio código de verificación, y con esa «llave» toman el control total del perfil, acceden a sus contactos, conversaciones y fotos, y continúan la cadena de engaños con familiares, amigos o incluso empleados de empresa.
Qué es el secuestro de cuentas de WhatsApp y por qué es tan peligroso
Cuando hablamos de secuestro de WhatsApp nos referimos a un fraude en el que un tercero consigue registrar tu número de teléfono en su dispositivo, expulsándote automáticamente de tu propia cuenta. A partir de ese momento, todo lo que ocurre en ese perfil está bajo el control del estafador.
El mecanismo técnico no tiene misterio: WhatsApp valida la identidad del usuario con un código de verificación de seis dígitos que se envía normalmente por SMS cuando alguien intenta activar una cuenta en un nuevo teléfono; si sospechas de un clon, consulta cómo comprobar si han clonado tu tarjeta SIM.
Lo realmente grave es que, una vez dentro, los delincuentes tienen acceso a tu copia de seguridad, a la agenda de contactos y al histórico de chats. Según la configuración de la víctima, también podrían ver fotografías, vídeos, documentos enviados y otros datos personales que permiten construir un perfil muy detallado de la persona afectada.
Con ese control, el perfil secuestrado se convierte en una herramienta perfecta para la suplantación de identidad y la extorsión económica. Los estafadores pueden escribir a tus contactos fingiendo emergencias, pedir dinero urgente por Bizum o transferencias, solicitar datos bancarios o incluso continuar robando más cuentas repitiendo el engaño con otros usuarios.
Además del impacto económico, existe un fuerte componente emocional: muchas víctimas se sienten culpables y avergonzadas al descubrir que, sin querer, su cuenta ha sido utilizada para estafar a familiares, amigos o compañeros de trabajo. La sensación de vulnerabilidad y pérdida de confianza puede durar bastante tiempo.
Cómo empiezan estos fraudes: llamadas, mensajes y falsas alertas
Los delincuentes son expertos en ingeniería social, es decir, en manipular a las personas para que hagan justo lo que ellos quieren. En el secuestro de cuentas de WhatsApp suelen utilizar varios guiones distintos que comparten el mismo objetivo: que compartas tu código de verificación o que sigas unas instrucciones sin cuestionarlas. Si dudas sobre la veracidad de un perfil, aprende a saber si el perfil de una persona es real.
El caso típico: el falso amigo que necesita un código
Una de las variantes más comunes arranca con un mensaje de alguien que, en principio, parece ser un contacto de confianza de tu agenda. Puede usar nombre y foto de una persona conocida, o directamente escribirse desde una cuenta ya secuestrada previamente.
El gancho suele ser algo cotidiano: te dice que ha cambiado de móvil o que está configurando su WhatsApp nuevo y que, por un error, el código de verificación le ha llegado a tu número en lugar de al suyo. A continuación, te pide que se lo reenvíes «para poder terminar la configuración».
Si en ese momento has recibido un SMS real de WhatsApp con un código de seis cifras y lo compartes, sin darte cuenta estás entregando a los delincuentes el código que necesitan para registrar tu propia cuenta en otro teléfono. En cuanto lo introducen, tu sesión se cierra y pierdes el acceso por completo.
En algunas ocasiones, tras pedir el código, el falso contacto añade un paso extra: te avisa de que te saldrá un aviso para permitir la transferencia de tu cuenta y te insiste en que pulses aceptar porque «es la única forma de que pueda recuperar su perfil». Si confirmas, les regalas el control total de tu cuenta.
La variante del servicio técnico o la llamada robótica
Otra modalidad muy extendida consiste en suplantar al soporte oficial de WhatsApp o a una empresa tecnológica. Aquí el proceso comienza con una llamada de teléfono, a veces con una voz robótica y desde un número extranjero, y otras veces con una persona que se presenta como técnica especializada.
En muchas de estas llamadas, la voz automática o el supuesto agente te indica que añadas un número concreto a tus contactos de WhatsApp o que guardes como contacto el mismo número desde el que te están llamando. A simple vista, parece algo absurdo, pero es un paso previo para continuar el engaño a través de la propia app.
En otros casos, la persona que llama se identifica con nombre, cargo y hasta te pregunta la marca y el modelo de tu móvil. Este dato, que parece inofensivo, sirve para dar sensación de profesionalidad y de que realmente están revisando un problema técnico «real» con tu cuenta.
Seguidamente, te advierten de una supuesta intrusión, intento de hackeo o problema de seguridad en tu WhatsApp y te dicen que, para proteger la cuenta, vas a recibir un código de seguridad que deberás repetirles por teléfono. Ese código no es otra cosa que el PIN de verificación para activar tu cuenta en otro dispositivo.
Si caes en la trampa y se lo das, en cuestión de segundos pierdes el acceso a tu perfil y el delincuente se queda con el control. Desde fuera, lo único que verás es que tu cuenta se ha cerrado sola y que WhatsApp te pide de nuevo el código de verificación para entrar.
Mensajes automáticos y números desconocidos
También se están observando campañas donde los delincuentes envían mensajes automáticos desde números que la víctima no tiene guardados. Estos mensajes pueden hablar de promociones, sorteos, ofertas irresistibles o alertas de seguridad urgentes; si no sabes cómo actuar, consulta qué hacer si recibes un WhatsApp de un desconocido.
A menudo incluyen un enlace que redirige a una web donde se solicita que la persona introduzca sus datos personales o incluso códigos de verificación. En otras variantes, el enlace intenta instalar malware en el dispositivo (por ejemplo, troyanos bancarios capaces de robar credenciales financieras).
El patrón común es que se juega con la urgencia, el miedo o la promesa de una recompensa. El usuario, confiado o con prisa, termina siguiendo las indicaciones sin pararse a revisar si el mensaje realmente procede de una fuente fiable.
Otros timos habituales en WhatsApp: del familiar en el extranjero al falso CEO
El secuestro de cuentas es solo una parte del problema. En paralelo, han proliferado diferentes estafas basadas en WhatsApp que se aprovechan de la confianza entre personas, la rapidez de los mensajes y la costumbre de no revisar con detalle todo lo que se recibe. Si quieres reducir la cantidad de mensajes no deseados, infórmate sobre cómo controlar WhatsApp spam.
El timo del «hola, cómo estás» y el familiar en el extranjero
Una de las estafas más frecuentes empieza con un simple mensaje de «hola, cómo estás» desde un número desconocido. La persona que escribe asegura ser un familiar o alguien cercano, pero nunca dice de primeras su nombre ni su parentesco, y empuja a la víctima a adivinar quién es.
Si el usuario tiene algún pariente en el extranjero o con el que habla poco, puede llegar a convencerse de que realmente se trata de esa persona. A partir de ahí, los estafadores pueden pedir dinero para una supuesta emergencia o solicitar datos personales y bancarios que luego usarán en otros fraudes.
El objetivo de esta modalidad, más allá del posible ingreso rápido, es recopilar el máximo de información posible para hacer más creíbles futuras estafas, ya sea contra la propia víctima o contra otros miembros de su entorno.
El fraude del código de verificación «enviado por error»
Muy relacionado con el secuestro de cuentas está el timo del código de verificación recibido por error. Aquí los delincuentes te escriben diciendo que han introducido mal su número y que, por eso, el código que necesitaban te ha llegado a ti.
Aunque pueda sonar inocente, ese código es en realidad el de tu propia cuenta de WhatsApp, porque ellos han intentado registrarla en otro móvil. Si se lo reenvías de buena fe, les entregas la llave para hacerse con tu perfil y expulsarte del mismo.
Fraude del CEO y ataques dirigidos a empresas
En el ámbito corporativo, se ha detectado un incremento del llamado fraude del CEO a través de WhatsApp. En esta modalidad, los cibercriminales contactan con personal de finanzas o administración haciéndose pasar por un alto directivo o por el propio consejero delegado de la empresa.
El mensaje suele transmitir una sensación extrema de urgencia y confidencialidad: se habla de cerrar un negocio importante, de salvar un acuerdo clave o de aprovechar una oportunidad única que no puede esperar. Bajo esa presión, solicitan que se realice una transferencia de dinero inmediata a una cuenta determinada.
Para convencer a la víctima, los estafadores a menudo adulan al empleado, le hacen sentir «de confianza» y le piden expresamente que no comente nada con otros compañeros. El objetivo es evitar que el trabajador llame al supuesto jefe por otro canal y descubra que en realidad está hablando con un impostor.
Robo de datos, malware y reclutamiento para delitos
Además de los timos económicos directos, existe un conjunto de fraudes donde el propósito inicial es robar información sensible o infectar el dispositivo. Para ello se utilizan enlaces disfrazados de documentos importantes, actualizaciones o supuestas facturas.
Al hacer clic, el usuario puede instalar sin saberlo malware que roba credenciales bancarias, da acceso remoto al móvil o incluso cifra los archivos a cambio de un rescate (ransomware). Este tipo de amenazas son especialmente peligrosas cuando afectan a teléfonos utilizados también para el trabajo; por eso interesa conocer riesgos y guías sobre seguridad y privacidad.
En un nivel más sofisticado, algunos grupos delictivos llegan a reclutar sin querer a las víctimas para que colaboren en actividades ilegales. Por ejemplo, pueden ofrecer falsos trabajos desde casa relacionados con inversiones en criptomonedas o acciones, que en realidad son esquemas de lavado de dinero u otras operaciones fraudulentas.
Cómo reconocer que te pueden estar estafando por WhatsApp
Detectar una estafa a tiempo es clave para cortar el problema de raíz. Aunque los delincuentes cambien constantemente de estrategia, hay señales que se repiten y que deberían encender todas las alarmas cuando aparecen en un chat de WhatsApp.
Para empezar, conviene desconfiar de números que no tenemos guardados en la agenda, especialmente si el remitente no se identifica claramente o se limita a frases genéricas y ambiguas. Si además dice ser un familiar o amigo y te obliga a «adivinar» quién es, mal asunto.
Otro indicador típico es que el mensaje carece de datos concretos y va directo a pedir algo: dinero, códigos, claves, fotografías de documentos o cualquier tipo de información sensible. Suelen evitar dar detalles verificables que puedan ponerte sobre la pista del engaño.
También es frecuente encontrar faltas de ortografía, errores gramaticales o expresiones extrañas. Aunque en WhatsApp no solemos escribir perfecto, muchos de estos mensajes suenan forzados o traducidos de manera automática, algo que desconcierta si supuestamente vienen de alguien de confianza o de una entidad oficial.
Por último, casi siempre aparece la componente de la urgencia o la presión para actuar rápido: te dicen que hay un problema inmediato con tu banco, una emergencia médica, un negocio que se cae si no se paga ya, o una oferta que se acaba en minutos. Esa prisa es la herramienta que usan para que no te pares a pensar.
Consecuencias del secuestro de cuenta y de otras estafas en WhatsApp
Cuando un ciberdelincuente consigue tomar el control de tu cuenta de WhatsApp, las consecuencias van mucho más allá de quedarte sin chatear durante unas horas. El impacto puede ser económico, personal, reputacional y hasta legal en algunos escenarios.
En el plano económico, lo más habitual es que utilicen tu identidad para pedir dinero a tus contactos alegando situaciones de urgencia: robos, problemas de salud, bloqueos en el banco o supuestas oportunidades de inversión. Muchos familiares y amigos, al ver que el mensaje viene de tu número, no dudan en enviar Bizum o transferencias.
A nivel personal, la sensación de que tu intimidad ha sido vulnerada es muy fuerte. Los estafadores pueden leer conversaciones privadas, acceder a fotos íntimas o a documentos que hayas compartido, y usar esa información para chantajear o simplemente para seguir aprendiendo sobre ti y tu entorno.
En casos más complejos, si tu cuenta se utiliza para participar en actividades delictivas como el lavado de dinero, podrías incluso tener que dar explicaciones ante las autoridades, aunque seas víctima. Por eso es fundamental reaccionar rápido, guardar pruebas y denunciar cuanto antes.
Por otra parte, recuperar la confianza de las personas que han sido engañadas a través de tu cuenta no siempre es sencillo ni inmediato. Aunque les expliques que tú también has sido víctima, el mal trago de haber perdido dinero o datos por «culpa» de tu perfil puede dejar huella.
Cómo proteger tu cuenta de WhatsApp frente a estas estafas
La buena noticia es que hay varias medidas muy sencillas que puedes aplicar para blindar tu cuenta de WhatsApp frente a la mayoría de estos fraudes. No son infalibles al 100 %, pero reducen muchísimo las probabilidades de que un delincuente pueda entrar en tu perfil.
Activa la verificación en dos pasos
El paso más importante es habilitar la verificación en dos pasos dentro de los ajustes de seguridad de WhatsApp. Esta función añade un PIN de seis dígitos que solo tú conoces y que la aplicación te pedirá periódicamente, además del código que se envía por SMS al registrar la cuenta en un nuevo dispositivo.
Gracias a esta capa extra, aunque un atacante consiga hacerse con el código de verificación enviado por mensaje de texto, no podrá completar el registro en otro móvil si no conoce también ese PIN adicional que tú has configurado previamente.
No compartas nunca tus códigos ni contraseñas
Puede sonar obvio, pero sigue siendo el error más explotado: jamás debes facilitar a nadie tu código de verificación de WhatsApp, ni capturas de pantalla donde aparezca, ni contraseñas de acceso, ni el PIN de verificación en dos pasos.
Ningún servicio técnico legítimo, ni de WhatsApp ni de tu operador móvil ni de tu banco, te pedirá esos códigos en una llamada, por mensaje o por correo. Esos números están pensados exclusivamente para que los introduzcas tú en tu propio dispositivo, y ahí se acaba su uso.
Desconfía de mensajes y llamadas extrañas
Ante cualquier comunicación inesperada, especialmente si viene de números desconocidos o desde el extranjero, conviene mantener la guardia alta. Si te piden que añadas un número a tus contactos, que abras un enlace raro o que des datos personales, tómate un momento para sospechar.
Incluso si el mensaje parece venir de alguien cercano, cuando haya algo que no encaje (cambio brusco en la forma de escribir, peticiones de dinero, presión por la urgencia…), lo más prudente es verificar la identidad llamando por teléfono o usando otro canal antes de hacer nada.
Revisa dispositivos conectados y usa soluciones de seguridad
Dentro de la propia aplicación, puedes ver qué dispositivos tienen sesión iniciada con tu cuenta (por ejemplo, WhatsApp Web u otros equipos). Es recomendable revisar de vez en cuando estos accesos y cerrar cualquier sesión que no reconozcas.
Además, siempre es buena idea tener instalado en el móvil un software de seguridad actualizado que sea capaz de detectar enlaces maliciosos, troyanos bancarios o apps sospechosas. Algunas soluciones incluyen asistentes o chatbots que ayudan a identificar posibles fraudes cuando dudas de un mensaje o de un archivo.
Qué hacer si ya te han secuestrado la cuenta o has caído en la estafa
Si sospechas que tu cuenta ha sido comprometida, o si directamente ya no puedes acceder a tu WhatsApp, es fundamental actuar con rapidez y seguir una serie de pasos ordenados para minimizar el daño tanto para ti como para tus contactos.
En primer lugar, intenta recuperar el control de tu cuenta introduciendo de nuevo tu número en WhatsApp y solicitando un nuevo código de verificación por SMS. Si los delincuentes aún no han activado la verificación en dos pasos o no conocen tu PIN, este procedimiento suele expulsarlos de inmediato.
Paralelamente, utiliza otros canales (llamadas, SMS, correo electrónico o redes sociales) para avisar a tus contactos de que tu cuenta de WhatsApp ha sido secuestrada. Pídeles expresamente que ignoren cualquier mensaje sospechoso que les llegue desde tu número y que no envíen dinero ni compartan datos.
Es muy recomendable recopilar todas las pruebas posibles: capturas de pantalla de los mensajes sospechosos, registros de llamadas, números implicados y cualquier otro detalle que pueda ayudar en una investigación posterior. Estos elementos facilitarán el trabajo a las autoridades competentes.
Por último, ponte en contacto con las Fuerzas y Cuerpos de Seguridad del Estado y, si procede, con organismos especializados en ciberseguridad como el INCIBE, para denunciar formalmente el fraude y recibir orientación. En caso de haber compartido datos bancarios, contacta de inmediato con tu entidad financiera para que adopte medidas de protección.
La mejor defensa frente a la estafa que secuestra cuentas de WhatsApp pasa por combinar sentido común, unas cuantas medidas técnicas básicas y mucha desconfianza sana ante cualquier petición de códigos, dinero o información personal que llegue por la aplicación, incluso si aparentemente procede de alguien en quien confías.
