En los últimos meses, surgió una nueva forma de robo de cuentas de WhatsApp que no necesita que la víctima haga clic en enlaces ni descargue archivos. El punto débil que aprovechan los atacantes es el buzón de voz.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) emitieron una alerta sobre esta técnica, que se basa en ingeniería social y en errores comunes de los usuarios.
Con solo un descuido, los ciberdelincuentes pueden tomar el control total de una cuenta de WhatsApp y hacerse pasar por la víctima ante sus contactos. Ahora bien, ¿cómo operan estos fraudes exactamente? ¿Y qué se puede hacer para no caer en la trampa?
Tal como advierte el INCIBE, el ataque comienza cuando los hackers intentan registrar el número de teléfono de la víctima en otro dispositivo. WhatsApp, como parte de su proceso de autenticación, envía un código de verificación a través de un SMS o una llamada.
Si el mensaje no es atendido —por ejemplo, si el usuario no contesta— la app puede optar por realizar una llamada de voz. Y ahí entra en juego el buzón: si está activado y la llamada no es respondida, el código queda grabado automáticamente en el buzón de voz.
El problema es que muchas personas no protegen este buzón con un PIN seguro. Los estafadores lo saben y aprovechan esta debilidad: llaman al número de la víctima desde otro teléfono, acceden al buzón y escuchan el mensaje con el código. Con esa información, toman el control de la cuenta sin que la víctima haya hecho nada.
Una vez que los atacantes logran adueñarse de una cuenta de WhatsApp, pueden hacerse pasar por la víctima en chats personales y grupos, con el objetivo de ejecutar nuevas estafas.
En la mayoría de los casos, aprovechan la confianza que genera una cuenta legítima para pedir dinero a contactos cercanos o distribuir enlaces maliciosos.
Desde la aplicación advierten que, al registrarse la cuenta en otro dispositivo, la sesión activa del usuario original se cierra de forma automática. Por eso, reaccionar rápido ante cualquier actividad sospechosa es clave para intentar recuperar el acceso y evitar mayores daños.
Si los ciberdelincuentes lograron acceder a tu cuenta, lo primero que recomienda la plataforma es volver a registrarte con tu número lo antes posible. Al hacerlo, recibirás un nuevo código de verificación de seis dígitos y, una vez ingresado, la sesión del atacante se cerrará automáticamente.
Sin embargo, si el estafador activó la verificación en dos pasos, es posible que no puedas ingresar de inmediato. En ese caso, deberás esperar hasta siete días para recuperar el acceso sin necesidad del PIN. Durante ese período, la cuenta queda inaccesible para el usuario original.
Además, si perdiste el teléfono, es clave comunicarte con tu operadora para bloquear la tarjeta SIM. También se recomienda revisar qué sesiones siguen abiertas en WhatsApp Web o Escritorio y cerrar cualquier acceso sospechoso.
Por su parte, INCIBE y otros organismos oficiales sugieren tomar una serie de medidas para recuperar la cuenta y reducir el impacto:
Avisá a tus contactos cuanto antes para evitar que caigan en estafas a tu nombre.
Escribí a support@whatsapp.com detallando el caso y solicitando asistencia.
Si no recibís respuesta, podés contactar al delegado de protección de datos de WhatsApp.
Para minimizar riesgos y blindar tu cuenta, estos son algunos pasos clave:
Activá la verificación en dos pasos: desde Ajustes > Cuenta > Verificación en dos pasos. Elegí un PIN que se solicitará cada vez que se intente registrar tu cuenta en otro equipo.
Configurá un PIN seguro para tu buzón de voz. Evitá combinaciones simples como 0000 o 1234, que suelen venir por defecto y pueden ser fácilmente adivinadas.
Nunca compartas el código de verificación de seis dígitos con nadie, ni siquiera con contactos de confianza.
Limitá quién puede ver tu foto de perfil a "Mis contactos" desde Ajustes > Privacidad.
Desconfiá de mensajes urgentes que pidan plata o datos personales. Ante cualquier duda, llamá al contacto antes de tomar una decisión.