Tu WhatsApp, ¿hackeado? 5 errores que hacen el trabajo fácil a los ciberdelincuentes

WhatsApp es una aplicación dominante en América latina, utilizada por más del 90% de los usuarios de internet, con altos porcentajes en países como México (94%) y la Argentina (93%). En este entorno, Eset, compañía especializada en detección proactiva de amenazas, observó una evolución en los fraudes. Estos ya no se limitan a mensajes obvios del tipo "gane un premio", sino que pasaron a tácticas complejas de ingeniería social, clonación de cuentas y robo de datos que afectan tanto a usuarios comunes como a instituciones.

Eset señaló que el factor humano sigue siendo el eslabón más débil en la cadena de ataque. La mayoría de las intrusiones no se deben a fallos tecnológicos complejos de la aplicación, sino a simples errores de seguridad cometidos por los propios usuarios. Aunque WhatsApp cuenta con cifrado de extremo a extremo, los estafadores cambiaron su objetivo: en lugar de intentar "romper" el código, se centran en manipular al usuario para que comparta información o realice acciones que culminan en el robo de su cuenta.

A continuación, los 5 errores más comunes en WhatsApp, según esta compañía de seguridad digital, que se deben corregir para evitar ser víctima de actividades delictivas:

1. No activar la confirmación en dos pasos

Este es el error más común y el que mayor daño provoca. Muchas estafas tienen éxito simplemente porque la víctima carece de esta capa extra de protección. Muchos usuarios creen que el código de 6 dígitos enviado por SMS es el único candado de su cuenta. El problema es que los delincuentes usan ingeniería social, haciéndose pasar por un servicio técnico, un hotel o un sitio de ventas, para convencer al usuario de que introduzca y comparta este código.

Si se entrega el código SMS y la autenticación en dos pasos no está activa, el estafador toma el control total de la aplicación en segundos. Una vez dentro, el atacante activa su propio PIN, lo que le da tiempo para pedir dinero a los contactos de la víctima, simulando una emergencia financiera, una de las estafas más replicadas hoy en día.

Cómo blindar la cuenta WhatsApp ahora

• Ir a Ajustes en WhatsApp.
• Pulsar en Cuenta > Confirmación en dos pasos.
• Hacer clic en Activar y crear una contraseña numérica de 6 dígitos.
• Consejo clave: Añadir un correo electrónico de recuperación en caso de olvidar el PIN.

2. Hacer clic en enlaces a "ofertas imperdibles", promociones o acciones instantáneas

Consiste en creer mensajes que ofrecen una ventaja económica inmediata o un premio inesperado, a menudo con un enlace acortado y un texto pegadizo. Al hacer clic, se accede a una página que imita perfectamente el sitio web oficial de una empresa. Allí, se solicitan datos personales, contraseñas bancarias e incluso datos de tarjeta. En otros casos, el simple clic puede descargar malware que vigila lo que se teclea en el móvil, incluidas las contraseñas de aplicaciones financieras.

Algunos puntos para detectar una estafa de phishing

• Promesas exageradas: El dinero fácil y los premios gratis sin sorteo son las mayores señales de alarma. Lo mismo ocurre con promociones absurdas que están muy por debajo del valor real del producto.
• Errores ortográficos: Los estafadores suelen cometer errores o utilizar un lenguaje demasiado informal.
• URL extrañas: Comprobar la dirección del sitio web. Si es algo como www.promocio-banco-xyz.net en lugar del sitio oficial, cerrar la página inmediatamente.
• Peticiones de compartir: Si el sitio dice que solo se gana el premio si se comparte el enlace con 10 contactos, se trata de una estafa piramidal digital.
• Consejo de seguridad clave: Nunca acceder a canales bancarios a través de enlaces enviados por mensaje. Abrir siempre la aplicación oficial del banco o teclear directamente la dirección en el navegador.

3. Dejar la foto de perfil a la vista de cualquiera

Este error facilita la suplantación de identidad o la estafa del "número nuevo". A diferencia de la clonación, el delincuente no hackea la cuenta, sino que crea una nueva utilizando los datos públicos (foto y nombre). El estafador se pone en contacto con familiares de la víctima diciendo que ha cambiado de número por un problema.

Aunque WhatsApp no permite capturar la foto de perfil con una impresión, el delincuente puede usar otro dispositivo o la versión de escritorio para hacer una captura de pantalla. A partir de la conversación, crean una sensación de urgencia y solicitan una transferencia inmediata para pagar una factura o a un proveedor.

Cómo configurar la privacidad de la foto de perfil en WhatsApp

• Ir a Ajustes en WhatsApp.
• Hacer clic en Privacidad.
• Seleccionar Foto de perfil.
• Cambiar la configuración de "Todos" a "Mis contactos".
• Consejo de seguridad clave: Siempre que un contacto conocido pida dinero para un número nuevo, hacer una videollamada o una llamada de audio para confirmar su identidad. Nunca realizar transferencias basándose únicamente en mensajes de texto y fotos de perfil.

4. No hacer copias de seguridad blindadas de las conversaciones en la nube

Muchas personas se centran en proteger la aplicación, pero olvidan la información que se almacena fuera de ella. WhatsApp realiza copias de seguridad automáticas en Google Drive (Android) o iCloud (iPhone). El error es que estas copias de seguridad no están protegidas por el mismo cifrado de extremo a extremo que la aplicación.

Si un delincuente consigue hackear el correo electrónico o la cuenta de Apple/Google del usuario, puede descargar el archivo de la copia de seguridad en otro dispositivo. Tendrá acceso a todo el historial: fotos de documentos, conversaciones íntimas, datos de trabajo y contraseñas que se hayan anotado. Es un robo de datos "por la puerta de atrás".

Cómo blindar la copia de seguridad de WhatsApp

• Ir a Ajustes > Conversaciones > Copia de seguridad de conversaciones.
• Activar "Copia de seguridad protegida por contraseña con cifrado de extremo a extremo".
• Crear una contraseña única. Con esto, ni Google ni Apple podrán leer los datos si son hackeados.

5. Mantener la vista previa de notificaciones en la pantalla bloqueada

Este es el error del "acceso físico". Un delincuente (o alguien malintencionado) puede intentar registrar la cuenta de WhatsApp de la víctima en otro teléfono móvil. El código de verificación llega por SMS al dispositivo y, si la vista previa está activa, el atacante puede leer el código de 6 dígitos sin necesidad de la huella dactilar o contraseña. En segundos, pueden robar la cuenta con solo mirar la pantalla del móvil sentado en una mesa de un restaurante o la oficina.

Cómo proteger las notificaciones en WhatsApp

• Ir a los ajustes del teléfono móvil (Android o iOS) y luego a Notificaciones.
• Buscar WhatsApp (y también la aplicación Mensajes/SMS).
• Cambiar la configuración a "No mostrar notificaciones" o "Mostrar sólo al desbloquear".

De esta forma, el contenido del mensaje solo será visible para el usuario.

Bonus track

¿Qué hago si ya pasé el código de 6 dígitos a un estafador?

Intentar reinstalar WhatsApp inmediatamente. Al solicitar un nuevo código, es posible que se logre desconectar al estafador. Si la confirmación en dos pasos ya estaba activa, habrá que esperar 7 días para recuperar el acceso, pero se debe notificar inmediatamente a los contactos y bancos.

¿Cómo puedo saber si alguien está leyendo mi WhatsApp Web ahora?

Ir a Ajustes > Dispositivos conectados. Si hay algún navegador o ciudad que no se reconozca, pulsar sobre él y seleccionar "Cerrar sesión". Esto cierra la sesión inmediatamente.

¿Servirá de algo cambiar mi número de teléfonop móvil si me clonan?

No es necesario cambiar el número de móvil. Se puede desactivar la cuenta comprometida enviando un correo electrónico a support@whatsapp.com con la frase "Perdido/Robado: Por favor, desactiva mi cuenta" y el número en formato internacional.

Las estafas de WhatsApp no se basan en tecnologías sofisticadas, sino en errores simples que se cometen por las prisas del día a día. Los delincuentes se aprovechan de la curiosidad, la urgencia emocional y, sobre todo, de la configuración de privacidad que se deja "abierta" por defecto.