Andrés López, un consultor tecnológico de 41 años especializado en aplicaciones móviles y Whatsapp, lleva más de 15 años trabajando en el sector de la ciberseguridad y desarrollo de software. Con experiencia en empresas de Madrid y Barcelona, López ha asesorado a compañías de diversos sectores sobre vulnerabilidades digitales y protocolos de seguridad. Su trayectoria incluye la implementación de sistemas de protección para aplicaciones móviles que manejan información sensible, lo que le ha permitido identificar patrones de ataque que afectan a millones de usuarios que desconocen los riesgos reales de las plataformas de mensajería instantánea.
Según datos del Instituto Nacional de Ciberseguridad, durante 2025 se han registrado más de 211.000 fraudes informáticos en España entre enero y junio, lo que representa un incremento constante respecto a años anteriores. Los ciberdelincuentes han perfeccionado técnicas de ingeniería social que explotan la confianza de los usuarios en aplicaciones cotidianas. López advierte que la mayoría de personas no activan medidas de seguridad básicas en sus dispositivos móviles, dejándolos completamente expuestos a ataques que pueden vaciar sus cuentas bancarias en cuestión de minutos sin que la víctima reciba ninguna notificación inmediata del robo.
CÓMO LOS DELINCUENTES ACCEDEN A TU CUENTA SIN QUE LO SEPAS
El método más extendido de robo de cuentas de WhatsApp comienza con la suplantación de identidad. Los atacantes se hacen pasar por contactos conocidos o por el servicio técnico oficial de la plataforma, solicitando un código de verificación de seis dígitos que la aplicación envía por SMS. Este código es la llave maestra que permite registrar el número de teléfono de la víctima en otro dispositivo. Una vez que el delincuente obtiene este código, toma control completo del perfil, bloqueando automáticamente el acceso del usuario legítimo y modificando los parámetros de seguridad para impedir cualquier intento de recuperación inmediata por parte de la víctima.
La Policía Nacional ha alertado sobre casos recientes donde estafadores utilizan llamadas con prefijos internacionales para simular ser soporte técnico de WhatsApp. Durante estas conversaciones, los delincuentes emplean técnicas de manipulación psicológica para generar urgencia, advirtiendo sobre supuestos bloqueos inminentes o actividades sospechosas en la cuenta. La víctima, convencida de estar resolviendo un problema real, proporciona el código de verificación sin sospechar que está entregando las llaves de toda su información personal y financiera a una organización criminal que opera de manera coordinada desde diferentes países y con sistemas cada vez más sofisticados.
LA CONEXIÓN DIRECTA CON TU BANCA ONLINE QUE NADIE TE CUENTA
Una vez que los ciberdelincuentes controlan una cuenta de WhatsApp, tienen acceso a todo el historial de conversaciones, incluidos aquellos chats donde se comparten capturas de pantalla de transferencias bancarias, códigos de autenticación temporales, o conversaciones con entidades financieras. Muchos usuarios utilizan WhatsApp como canal de comunicación con sus bancos para consultas o recepción de códigos de verificación para operaciones bancarias. Los atacantes aprovechan esta información para acceder directamente a las aplicaciones de banca en línea, iniciando sesión con datos que la propia víctima ha compartido previamente en sus chats, sin saber que estaba creando un rastro digital perfecto para los estafadores.
Además, los delincuentes emplean la técnica del «compartir pantalla» durante videollamadas. Se hacen pasar por representantes de aerolíneas, bancos o servicios al cliente de empresas reconocidas, solicitando que la víctima comparta su pantalla bajo el pretexto de resolver un problema técnico. Durante este proceso, los atacantes pueden visualizar en tiempo real cualquier código de verificación que aparezca en el dispositivo, incluidos los enviados por aplicaciones bancarias o billeteras digitales como Mercado Pago. Aunque no pueden controlar directamente el teléfono, pueden grabar la sesión y observar cada tecla pulsada, obteniendo contraseñas y datos bancarios sin necesidad de instalar ningún software malicioso en el dispositivo de la víctima.
EL MALWARE QUE SE PROPAGA A TRAVÉS DE ARCHIVOS ADJUNTOS
Un peligro emergente en 2025 es el malware SORVEPOTEL, que se propaga específicamente a través de WhatsApp Web en ordenadores con sistema operativo Windows. Este virus llega por mensaje en forma de archivo ZIP con nombres aparentemente inofensivos como «RES-20250930112057.zip» o «ORCAMENTO114418.zip». Al abrir estos archivos, el malware se instala silenciosamente en el ordenador y comienza a operar sin que el usuario lo detecte. Una vez dentro, SORVEPOTEL puede secuestrar la sesión de WhatsApp Web, enviarse automáticamente a todos los contactos de la víctima multiplicando exponencialmente el alcance del ataque, y mostrar ventanas emergentes falsas que simulan actualizaciones de seguridad o chequeos del sistema para engañar aún más al usuario.
La capacidad destructiva de este malware reside en su habilidad para robar información financiera mediante formularios falsos que imitan a la perfección las páginas oficiales de bancos y billeteras digitales. Estos formularios solicitan claves de acceso, firmas electrónicas y códigos de autenticación de dos factores. Como el ataque se produce desde un ordenador comprometido, muchos sistemas de seguridad bancaria no lo detectan como actividad sospechosa, permitiendo que los delincuentes realicen transferencias o compras utilizando las credenciales robadas. Expertos de Trend Micro Inc. confirman que cientos de usuarios ya han sido afectados en toda la región latinoamericana y España.
LA VERIFICACIÓN EN DOS PASOS: EL ESCUDO QUE TODOS IGNORAN
La verificación en dos pasos de WhatsApp es una función de seguridad opcional que añade una capa adicional de protección a la cuenta. Este sistema requiere que el usuario establezca un código PIN de seis dígitos que debe ingresarse cada vez que se intente registrar el número de teléfono en un dispositivo nuevo. Para activar esta función, hay que abrir WhatsApp, acceder a los tres puntos del menú superior o al icono de «Ajustes» en iOS, seleccionar «Cuenta», luego «Verificación en dos pasos» y finalmente pulsar «Activar». El sistema pedirá crear un PIN numérico y, opcionalmente, vincular una dirección de correo electrónico para recuperar el acceso en caso de olvidar el código de seguridad establecido.
Aunque es opcional, expertos en ciberseguridad como María Aperador insisten en que activar la verificación en dos pasos es fundamental para evitar que los delincuentes tomen control de la cuenta incluso si obtienen el código de verificación por SMS. Si esta función está activada, aunque un atacante consiga el código de seis dígitos enviado por mensaje de texto, no podrá completar el registro sin conocer el PIN adicional que solo el usuario legítimo debería saber. El Instituto Nacional de Ciberseguridad recomienda también añadir el correo electrónico de recuperación, porque permite restablecer el PIN en caso de olvido y ayuda a proteger la cuenta contra intentos de acceso no autorizado desde dispositivos desconocidos.
SEÑALES DE ALERTA: CÓMO DETECTAR QUE YA TE HAN HACKEADO
Existen varios indicadores que permiten identificar si una cuenta de WhatsApp ha sido comprometida. La señal más evidente es la pérdida repentina de acceso a la aplicación, acompañada de un mensaje que indica que la cuenta ya no está vinculada al dispositivo. Esto ocurre porque los atacantes han registrado el número en otro terminal y han bloqueado al usuario original. Otra señal de alarma es recibir mensajes de contactos preguntando por solicitudes extrañas de dinero o enlaces sospechosos que supuestamente se enviaron desde la cuenta. Los delincuentes utilizan perfiles comprometidos para contactar a la lista de contactos solicitando transferencias urgentes mediante plataformas como Bizum, aprovechando la confianza que existe entre familiares y amigos para concretar estafas económicas rápidas.
Para verificar si hay sesiones activas no autorizadas en WhatsApp, hay que abrir la aplicación, tocar los tres puntos del menú o el icono de configuración, y seleccionar «Dispositivos vinculados». Esta sección muestra todos los dispositivos donde la cuenta está activa, incluyendo ordenadores con WhatsApp Web. Si aparece algún dispositivo desconocido o sesión que el usuario no reconoce, debe cerrarse inmediatamente pulsando sobre ese dispositivo y seleccionando «Cerrar sesión». Es recomendable revisar esta sección periódicamente, especialmente si se utiliza WhatsApp Web en computadoras públicas o compartidas, porque una sesión olvidada puede permanecer activa durante semanas, permitiendo que cualquier persona con acceso físico al ordenador pueda leer conversaciones privadas en tiempo real.
MEDIDAS URGENTES QUE DEBES IMPLEMENTAR HOY MISMO
Además de activar la verificación en dos pasos, existen otras medidas de seguridad esenciales. Nunca se debe compartir el código de verificación de seis dígitos con nadie, sin importar quién lo solicite o bajo qué pretexto. WhatsApp nunca contacta a los usuarios por teléfono o mensaje para solicitar códigos de seguridad. Es fundamental también revisar y ajustar la configuración de privacidad de la aplicación, limitando quién puede ver la foto de perfil, el estado, la información personal y la última hora de conexión. Estas opciones se encuentran en «Ajustes», luego «Cuenta» y «Privacidad». Configurar estas opciones como «Solo mis contactos» o «Nadie» reduce significativamente la exposición a intentos de suplantación de identidad.
