El robo de cuentas de WhatsApp ya no es solo un problema de ciberseguridad: es el inicio de una cadena de delitos cada vez más compleja y peligrosa. Extorsión, fraude, suplantación de identidad… los ataques han escalado tanto en volumen como en gravedad.
A pesar de las campañas de concientización, más de 50.000 víctimas en España este año demuestran que el eslabón más débil sigue siendo el factor humano. Ingeniería social, manipulación emocional y mensajes falsos están llevando a miles de ciudadanos —jóvenes, empresarios, políticos— a perder no solo el control de su información, sino también su tranquilidad jurídica.
Diariamente recibimos más de cinco consultas tanto de usuarios como de abogados: nadie está a salvo. Jóvenes, empresarios y políticos, sin distinción de situación, condición o residencia, son blanco de hackeos de cuentas de WhatsApp.
Al concluir esta investigación, durante una entrevista con Ángel Bahamontes, presidente de la ANTPJI, fuimos testigos directos de la desesperación de un ciudadano que relataba cómo su identidad había sido suplantada a través de WhatsApp y redes sociales. «Quiero comunicarles que han robado mi identidad y están estafando a la gente haciéndose pasar por mí. Han hackeado mi WhatsApp y otra persona lo está utilizando. No se dejen engañar», afirmaba con impotencia mientras mostraba a los peritos el contenido falso que se publicaba en Instagram en su nombre.
Bahamontes explica que el robo de cuentas de WhatsApp se ha masificado en los últimos meses, principalmente mediante mensajes que aparentan ser enviados por la propia plataforma.
La víctima describió que el enlace le llegó como un supuesto mensaje del servicio técnico de WhatsApp, advirtiendo un intento de acceso no autorizado: «Uno se alarma, ¿qué está pasando? El mensaje está muy bien diseñado para que las personas caigan en la trampa.»
Estos mensajes buscan generar una respuesta emocional inmediata y, en muchos casos, solicitan un código de verificación. Al enviarlo, la víctima entrega el control de su cuenta al ciberdelincuente.
Ejemplo típico de mensaje fraudulento:
«Hola, estimado usuario. Somos el servicio técnico de WhatsApp. Hemos detectado un intento de acceso a su cuenta desde otro dispositivo móvil. Por su seguridad, renvíenos el código que le hemos enviado. De no hacerlo, su cuenta será eliminada. Más información en www.whatsapp.com.»
¿Estamos preparados para enfrentar judicialmente el impacto masivo de la suplantación digital o estamos simplemente reaccionando caso por caso?
Desde un enfoque forense y jurídico, resulta crucial activar protocolos de «confianza cero», implementar verificaciones en dos pasos y fortalecer el marco de responsabilidad digital. No basta con protegerse: hay que anticiparse, documentar y denunciar.
Cada minuto que pasa, nuevas víctimas de hackeo en WhatsApp se suman a una estadística imparable: una estafa informática cada 7 segundos en España.
¿Aún crees que no te puede pasar a ti?
No estamos hablando solo de fraudes menores. Estamos hablando de extorsión, manipulación de datos personales, chantaje y delitos graves que comienzan con algo tan simple como reenviar un código de verificación.
Lo que parecía una plataforma de mensajería se ha convertido en la puerta de entrada para redes delictivas que saben explotar la ingeniería social y la vulnerabilidad humana mejor que muchos profesionales legales o tecnológicos saben prevenirlo.
La ANTPJI ha identificado los principales esquemas de estafa utilizados:
- Solicitud de código de seis dígitos: bajo excusas como sorteos o validaciones de identidad, los atacantes piden el código de verificación enviado al móvil.
- Pedidos falsos: simulan entregas de productos y solicitan la confirmación mediante un código.
- Falsos sorteos o premios: notifican premios inexistentes para inducir al clic en enlaces fraudulentos.
- Suplantación de identidad: tras el robo de una cuenta, los atacantes escriben a los contactos solicitando dinero urgente.
- Invitaciones a grupos desconocidos: al hacer clic, pueden infectar dispositivos o robar datos personales.
El hackeo de WhatsApp es solo el primer eslabón. A partir de ahí, los ciberdelincuentes incurren en delitos de suplantación de identidad y fraude informático.
Entre enero y marzo, más de 30.000 personas denunciaron suplantación de identidad y más de 17.000 reportaron fraude informático, según datos oficiales del sistema policial.
Lo más alarmante, advierte Bahamontes, es que estos incidentes en ocasiones escalan a delitos graves como la extorsión.
Relata el caso reciente de una mujer mayor cuya cuenta de WhatsApp fue robada; en su estado comenzaron a publicarse imágenes generadas con inteligencia artificial de alto contenido sexual. Posteriormente, los delincuentes exigieron dinero para detener la difusión de esas imágenes.
Frente a esta ola de delitos, la ANTPJI intensifica su labor educativa en universidades, radios, centros de mayores y redes sociales, buscando dotar a la ciudadanía de herramientas de prevención.
¿Cómo prevenir estas estafas?
El experto en ciberseguridad Carlos Ballesteros advierte que el objetivo ya no son solo las empresas, sino cualquier persona. Los ciberdelincuentes utilizan técnicas de ingeniería social, es decir, manipulan información personal obtenida de redes sociales para ganar la confianza de sus víctimas.
La modalidad más común es recibir un mensaje de un supuesto grupo de WhatsApp, solicitando un código que, en realidad, habilita el robo de la cuenta.
Mensajes fraudulentos frecuentes:
- «Ganaste un sorteo»: piden reenviar un código para reclamar un premio inexistente.
- «Tu pedido está en camino»: simulan ser de servicios de delivery para obtener el código de verificación.
- «Hola, soy del soporte de WhatsApp»: fingen ser soporte técnico y solicitan el código de acceso.
- «Este código es para confirmar que eres el titular de la cuenta»: suplantan servicios oficiales para robar datos.
- «Te mandé un código por error, ¿me lo puedes reenviar?»: los atacantes usan cuentas hackeadas de contactos de confianza para engañar.
Nunca confíes, siempre verifica. Bahamontes recuerda que en ciberseguridad se aplica la política de confianza cero: cualquier mensaje o llamada de números desconocidos debe ser tratado con escepticismo absoluto. WhatsApp nunca se comunicará proactivamente con los usuarios salvo que estos lo soliciten.
Recomendación clave: activar la verificación en dos pasos en WhatsApp.
Así podrás ser alertado si alguien intenta acceder a tu cuenta desde otro dispositivo.
Pasos para activarla:
- Ingresa a WhatsApp.
- Abre Ajustes.
- Toca Cuenta > Verificación en dos pasos > Activar o Configurar PIN.
- Elige un PIN de seis dígitos y confírmalo.
- Añade una dirección de correo electrónico (opcional, pero recomendado para recuperación).
- Confirma el correo electrónico y guarda los cambios.
¿Cuánto más debe escalar esta amenaza antes de que la protección de nuestra identidad digital sea un derecho real y no solo un consejo opcional?
En TecFuturo.es analizamos, junto a la ANTPJI, los casos reales, las tácticas utilizadas por ciberdelincuentes y las estrategias jurídicas necesarias para enfrentar este nuevo tipo de amenaza digital. No entender cómo funcionan estos ataques hoy, es ser su próxima víctima mañana.
