Estafas por WhatsApp: cinco errores de seguridad que facilitan el robo de cuentas

Un código entregado a la persona equivocada, un enlace que promete un premio, una foto de perfil abierta para cualquiera o una notificación visible en la pantalla bloqueada. En WhatsApp, varios fraudes no dependen de vulnerar la aplicación, sino de errores de seguridad cotidianos que pueden dejar la cuenta expuesta y facilitar el robo de información.

En los últimos años, los mensajes obvios del tipo “gane un premio” han dado paso a tácticas más complejas de ingeniería social, clonación de cuentas y robo de datos, dirigidas tanto a usuarios comunes como a instituciones públicas.

“El factor humano sigue siendo el eslabón más débil de esta cadena de un ataque. El gran problema es que la mayoría de las intrusiones no se producen por complejos fallos tecnológicos de la aplicación, sino por simples errores de seguridad cometidos por los propios usuarios”, señaló David González, investigador de Seguridad Informática de ESET Latinoamérica.

La advertencia parte de una idea central, pues aunque WhatsApp cuenta con cifrado de extremo a extremo, los estafadores cambiaron su objetivo. En lugar de intentar romper la seguridad técnica de la aplicación, buscan captar la atención del usuario para que sea él mismo quien entregue información o realice acciones que terminan comprometiendo la cuenta.

1. No activar la confirmación en dos pasos

Este es uno de los errores más comunes y también uno de los que más daño puede causar. Muchas de las estafas actuales tienen éxito porque la víctima no cuenta con una capa extra de protección.

“Muchos usuarios creen que el código de seis dígitos enviado por SMS es el único candado de su cuenta. El problema es que los delincuentes utilizan técnicas de ingeniería social para convencerte de que introduzcas este código, haciéndose pasar por el servicio técnico, un hotel o un sitio de ventas", menciona González.

“Si entregas el código SMS y no tienes activada la autenticación en dos pasos, el estafador se hace con el control total de tu aplicación en cuestión de segundos. Una vez dentro de tu cuenta, el atacante activa su PIN, dándole tiempo para pedir dinero a tus contactos, simulando una emergencia financiera, una de las estafas más replicadas hoy en día”, analizó González.

Cómo blindar la cuenta ahora:

• Ir a Ajustes en WhatsApp.
• Pulsar en Cuenta > Confirmación en dos pasos.
• Hacer clic en Activar y crear una contraseña numérica de seis dígitos.

Consejo de seguridad: añadir un correo electrónico de recuperación en caso de olvidar el PIN.

2. Hacer clic en enlaces a “ofertas imperdibles”, promociones o acciones instantáneas

Otro error frecuente es creer en mensajes que ofrecen una ventaja económica inmediata o un premio inesperado. Esta estafa suele llegar por WhatsApp mediante un enlace acortado y un texto llamativo.

Al hacer clic, la persona puede entrar a una página que imita el sitio oficial de una empresa. Allí puede terminar entregando datos personales, contraseñas bancarias o información de tarjetas. En otros casos, el clic puede descargar malware capaz de vigilar lo que se teclea en el celular, incluidas las contraseñas de aplicaciones financieras.

Algunas señales para detectar una estafa de phishing:

• Promesas exageradas: dinero fácil o premios gratis sin sorteo.
• Errores ortográficos: lenguaje extraño o demasiado informal.
• URL extrañas: direcciones que no coinciden con el sitio oficial.
• Peticiones de compartir: enlaces que exigen reenviar el mensaje a otros contactos para acceder al supuesto beneficio.

Consejo de seguridad: no acceder a canales bancarios a través de enlaces enviados por mensaje. Lo recomendable es abrir la aplicación oficial del banco o escribir directamente la dirección en el navegador.

3. Dejar la foto de perfil a la vista de cualquiera

Mantener la foto de perfil visible para todo el mundo facilita uno de los fraudes más comunes: la suplantación de identidad o la llamada estafa del número nuevo.

A diferencia de la clonación, en este caso el delincuente no toma el control de la cuenta original. Lo que hace es crear una nueva usando datos públicos, como la foto y el nombre de la víctima. Luego contacta a familiares o conocidos con la excusa de que cambió de número porque el anterior se dañó o tuvo algún problema. A partir de ahí, genera una sensación de urgencia y pide una transferencia inmediata para pagar una factura o a un proveedor.

Aunque WhatsApp no permite actualmente capturar la foto de perfil mediante una impresión, el delincuente puede usar otro dispositivo o la versión de escritorio para hacer una captura de pantalla y obtener la imagen.

Cómo configurar la privacidad:

• Ir a Ajustes en WhatsApp.
• Hacer clic en Privacidad.
• Seleccionar Foto de perfil.
• Cambiar la opción de Todos a Mis contactos.

Consejo de seguridad: si un contacto conocido pide dinero desde un número nuevo, conviene hacer una videollamada o una llamada de audio para confirmar su identidad. No se recomienda hacer transferencias basadas solo en mensajes de texto y fotos de perfil.

4. No hacer copias de seguridad blindadas de las conversaciones en la nube

Muchas personas se concentran en proteger la aplicación, pero olvidan la información que se almacena fuera de ella. WhatsApp realiza copias de seguridad automáticas en Google Drive, en Android, o en iCloud, en iPhone. El problema es que esas copias no están protegidas por el mismo cifrado que la app.

“Si un delincuente consigue hackear tu correo electrónico o tu cuenta de Apple/Google, puede descargar el archivo de tu copia de seguridad en otro dispositivo. Tendrán acceso a todo tu historial: fotos de documentos, conversaciones íntimas, datos de trabajo y contraseñas que hayas anotado. Es un robo de datos por la puerta de atrás”, advirtió el investigador de ESET.

Cómo blindarlo:

• Ir a Ajustes > Conversaciones > Copia de seguridad de conversaciones.
• Activar Copia de seguridad protegida por contraseña con cifrado de extremo a extremo.
• Crear una contraseña única.

5. Mantener la vista previa de notificaciones en la pantalla bloqueada

Un delincuente, o alguien malintencionado, puede intentar registrar la cuenta de WhatsApp en otro celular. El código de verificación llega por SMS y, si la vista previa de notificaciones está activa, esa persona podría leer el código de seis dígitos sin necesidad de huella dactilar o contraseña.

En cuestión de segundos, la cuenta puede ser robada con solo mirar la pantalla de un teléfono que está sobre la mesa en un restaurante o en una oficina.

Cómo proteger las notificaciones:

• Ir a los ajustes del celular.
• Entrar en Notificaciones.
• Buscar WhatsApp y también la aplicación de Mensajes/SMS.
• Cambiar la configuración a No mostrar notificaciones o Mostrar solo al desbloquear.

De ese modo, el contenido del mensaje solo aparecerá cuando el equipo esté desbloqueado.

¿Qué hacer si la cuenta ya fue comprometida?

1. Si ya entregó el código de seis dígitos a un estafador

• Intentar reinstalar WhatsApp inmediatamente.
• Solicitar un nuevo código para tratar de desconectar al estafador.
• Si ya estaba activada la confirmación en dos pasos, esperar 7 días para recuperar el acceso.
• Notificar de inmediato a los contactos y a los bancos.

2. Si quiere revisar si alguien está usando WhatsApp Web sin permiso

• Ir a Ajustes > Dispositivos conectados.
• Verificar si aparece algún navegador o una ciudad que no reconozca.
• Pulsar sobre esa sesión y seleccionar Cerrar sesión.

3. Si le clonan la cuenta

• No es necesario cambiar el número de celular.
• Se puede desactivar la cuenta comprometida escribiendo a support@whatsapp.com.
• En el correo debe incluir la frase: “Perdido/Robado: Por favor, desactiva mi cuenta” y el número en formato internacional, por ejemplo: +57 300 XXXXXXX.

👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.