Millones de personas utilizan WhatsApp a diario para comunicarse con familiares, amigos y compañeros de trabajo. Su popularidad, facilidad de uso y la confianza que genera entre los usuarios la han consolidado como una herramienta esencial en la vida cotidiana.
No obstante, estas mismas características también la han convertido en uno de los principales blancos de los ciberdelincuentes.
Durante años, el método más habitual para apoderarse de una cuenta de WhatsApp consistía en obtener el código de verificación que la plataforma envía por mensaje de texto cuando se registra en un nuevo dispositivo. A través de engaños, llamadas falsas o mensajes fraudulentos, los delincuentes conseguían que las víctimas compartieran ese número sin ser conscientes de las consecuencias.
Sin embargo, expertos en ciberseguridad del INCIBE han alertado sobre una nueva modalidad especialmente peligrosa, dado que permite a los atacantes acceder a una cuenta sin necesidad de expulsar a su propietario. En otras palabras, la víctima continúa utilizando la aplicación con aparente normalidad mientras un tercero puede revisar conversaciones, fotos, documentos y otros archivos compartidos.
La estafa comienza con un mensaje que aparenta ser legítimo y que, en muchos casos, proviene de la cuenta de un contacto cuya información ya fue comprometida. El texto suele incluir frases diseñadas para despertar curiosidad o preocupación, como: “¿Eres tú el de esta foto?” o “Mira la imagen en la que te etiquetaron”.
Al pulsar el enlace, el usuario es dirigido a una página fraudulenta que imita servicios de Meta, como Facebook o Instagram. Su diseño suele ser muy similar al de las plataformas oficiales, lo que aumenta las probabilidades de que la víctima confíe en el sitio.
Posteriormente, los delincuentes guían a la persona a través de una serie de pasos que aparentan formar parte de un proceso de verificación. Durante ese procedimiento, la víctima introduce su número de teléfono y, sin advertirlo, termina autorizando la vinculación de su cuenta de WhatsApp a un dispositivo controlado por los atacantes.
El mecanismo es similar al que se emplea al conectar una cuenta a WhatsApp Web o a la aplicación de escritorio, con la diferencia de que, en este caso, el acceso queda en manos de terceros.
Teniendo en cuenta esto, si ha sido víctima de dicho fraude, lo primero que debe hacer es revisar el apartado de dispositivos vinculados y cerrar sesión en cualquier equipo que no reconozca. También se recomienda analizar el celular o el computador con un programa antivirus para detectar posibles amenazas y cambiar las contraseñas que hayan podido quedar expuestas.