En los últimos meses se ha detectado un aumento de una modalidad de robo de cuentas de WhatsApp que no requiere que la víctima haga clic en ningún enlace ni descargue archivos, que utiliza como vía de acceso el buzón de voz.

El Instituto Nacional de Ciberseguridad (Incibe) ha alertado de este nuevo método, basado en la ingeniería social, que aprovecha un descuido común para hacerse con el control total de una cuenta de WhatsApp y suplantar a la víctima ante sus propios contactos.

El procedimiento comienza cuando los ciberdelincuentes intentan registrar el número de teléfono de la víctima en un dispositivo diferente. WhatsApp envía entonces un código de verificación por SMS o llamada, como parte del proceso habitual.

Si el mensaje no se recibe (por ejemplo, si el usuario no contesta), la aplicación puede ofrecer la opción de enviar el código mediante llamada de voz. En este punto, si la víctima tiene activo el buzón de voz y no responde a la llamada, el código se graba automáticamente en el buzón.

Aprovechando que muchas personas no tienen configurado un PIN seguro en su buzón, los estafadores intentan acceder a él llamando al número de la víctima desde otro dispositivo. Si logran entrar, recuperan el mensaje con el código de verificación y, con él, consiguen hacerse con la cuenta de WhatsApp sin que el usuario haya interactuado con nada.

Una vez que los delincuentes se hacen con el control de la cuenta, pueden hacerse pasar por la víctima en sus conversaciones individuales y grupos, con el objetivo de llevar a cabo nuevas estafas. En muchos casos, solicitan dinero a los contactos o difunden enlaces maliciosos desde una cuenta aparentemente de confianza.

Desde WhatsApp advierten que, una vez registrada la cuenta en otro teléfono, la sesión de la víctima se cierra automáticamente. Por eso es fundamental actuar rápido en cuanto se detecta un uso no autorizado.

El método más clásico: el engaño por mensaje directo

Además del método del buzón de voz, el tipo de fraude más común sigue siendo el intento de engañar directamente a la víctima para que comparta el código de verificación que recibe por SMS. Un mensaje típico puede ser: "Hola, lo siento. Te envié por error un código de 6 dígitos por SMS. ¿Me lo puedes pasar? Es urgente".

Una vez que la persona lo facilita, pierde el control de su cuenta. Por ello, nunca se debe compartir el código de seis dígitos recibido por SMS con nadie, ni siquiera con amigos o familiares, tal y como recuerda Incibe.

Si los ciberdelincuentes han conseguido acceder a tu cuenta de WhatsApp, la página de soporte de la aplicación recomienda registrarla de nuevo lo antes posible con tu número de teléfono. Recibirás un nuevo código de seis dígitos y, una vez introducido, se cerrará automáticamente la sesión en el dispositivo donde el intruso haya iniciado sesión.

En algunos casos, si el estafador ha activado la verificación en dos pasos, no podrás acceder de inmediato y deberás esperar hasta siete días para hacerlo sin el PIN. En ese tiempo, no se puede recuperar la cuenta.

También es importante contactar con tu operadora móvil para bloquear la tarjeta SIM, si has perdido el móvil, y revisar qué sesiones están abiertas desde WhatsApp Web o Escritorio para cerrar accesos no autorizados.

Europa Press