En los últimos meses se ha extendido una táctica especialmente insidiosa donde roban cuentas de WhatsApp sin que la víctima toque nada. La puerta de entrada no es un enlace ni una descarga, sino el buzón de voz, un servicio que muchos usuarios mantienen activo y poco protegido.
Las alertas oficiales señalan que este fraude se apoya en dos elementos: el proceso legítimo de verificación de la app y la configuración débil del buzón. Entender cómo encajan ambas piezas es clave para reaccionar a tiempo y, sobre todo, para evitar que te pase.
El caso que encendió las alarmas: llamadas del extranjero y un buzón descuidado
A finales de febrero de 2025, el 017 de Tu Ayuda en Ciberseguridad de INCIBE atendió a una mujer adulta explicando cómo le roban su cuenta de WhatsApp. Antes de perder el control, recibió dos llamadas de números de Alemania e Inglaterra que no contestó. Poco después encontró en su buzón de voz un mensaje automatizado con un código de verificación de WhatsApp, además de otra llamada perdida registrada en el propio buzón desde un tercer número extranjero.
La víctima sospechó que su número pudo salir de la agenda de un amigo, atacado el día anterior con el mismo método. Ese detalle encaja con lo observado por los expertos: los delincuentes aprovechan listas de contactos de cuentas ya comprometidas para ampliar su radio de acción.
¿Cómo funciona el fraude del buzón de voz paso a paso donde roban tu cuenta de WhatsApp?
El atacante intenta registrar tu número en otro dispositivo. La aplicación, como parte de su seguridad, envía un código de seis dígitos por SMS o mediante una llamada automática. Si no respondes al teléfono, la locución deja el código en tu buzón de voz.
El siguiente movimiento consiste en acceder a ese buzón. Muchos usuarios conservan el PIN por defecto, frecuentemente algo tan trivial como 0000 o 1234. Con ese fallo, los estafadores marcan al número de la víctima o acceden por la vía de acceso remoto al buzón que brindan las operadoras y escuchan el mensaje con el código. Con el código en su poder, registran la cuenta en su terminal y te expulsan.
El ataque es especialmente peligroso porque no requiere clics, instalaciones ni que compartas nada de manera activa. La combinación de buzón mal protegido y verificación por llamada facilita una toma de control silenciosa y muy rápida.
¿Qué hacen los delincuentes cuando roban tu WhatsApp y la controlan?
Una vez dentro, suplantan tu identidad ante tus chats y grupos. Es habitual que pidan dinero con urgencia, compartan enlaces maliciosos o intenten extraer más información personal. La propia app cierra tu sesión al detectar un registro en otro dispositivo, lo que puede ser la primera señal de que algo va mal.
En paralelo, revisan conversaciones, fotos o vídeos que puedan usar para chantajes o fraudes en cadena. Por eso la velocidad de reacción es determinante para limitar daños.
El engaño clásico que sigue funcionando: te envié un código
Junto a la estafa del buzón de voz, continúa muy activo el truco directo de solicitar el código por mensaje. Un texto típico dice que han enviado por error un código de seis dígitos y piden que lo reenvíes con urgencia. Facilitar ese número equivale a entregar la llave de tu cuenta, así que no compartas este código con nadie bajo ninguna circunstancia.
Señales de que tu cuenta puede haber sido comprometida
Hay varias pistas. La más evidente es que no puedes entrar y la app te avisa de que tu número se ha registrado en otro dispositivo. También pueden alertarte tus contactos al recibir solicitudes extrañas o enlaces raros desde tu perfil. Cualquier actividad que no reconozcas, como mensajes enviados sin tu intervención, debe hacerte actuar de inmediato.
¿Qué hacer si ya te roban la cuenta de WhatsApp?
El primer paso recomendado por la propia aplicación es intentar registrar de nuevo tu número cuanto antes. Al introducir el nuevo código de verificación, la sesión del intruso quedará cerrada en su dispositivo, recuperando tú el control si nada lo impide.
Puede ocurrir que el atacante active la verificación en dos pasos. En ese escenario, es posible que debas esperar hasta siete días para poder iniciar sesión sin el PIN de 2FA. Durante ese periodo no podrás recuperar el acceso de inmediato, por lo que conviene tomar medidas paralelas para minimizar el impacto.
Si perdiste el móvil, llama a tu operadora para bloquear la SIM. Además, desde cualquier equipo confiable, revisa si hay sesiones abiertas en WhatsApp Web o Escritorio y cierra las que no reconozcas. Este control de accesos adicionales reduce las superficies de ataque.
Las pautas de INCIBE para gestionar el incidente
Desde el 017 de INCIBE se recomiendan varias acciones coordinadas. Empieza por avisar a tus contactos para que no caigan en nuevos engaños a tu nombre. Este paso corta la propagación del fraude en tus redes cercanas.
Contacta con el soporte oficial en [email protected] explicando lo ocurrido y solicitando asistencia. Si no recibes ayuda por esta vía, el siguiente escalón es el delegado de protección de datos de la compañía, que debe responder en plazos razonables.
Si tras un mes no hay solución o la respuesta es insuficiente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos. Este trámite busca restituir tu derecho a la protección y la adecuada atención de tu caso.
Reúne todas las pruebas disponibles: capturas de pantalla de mensajes, correos, registros de llamadas y cualquier evidencia de suplantación o fraude. Con esa documentación, presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, dejando constancia de la usurpación de identidad y de los posibles perjuicios a terceros.
No entres en juegos de chantajes. Si te contactan exigiendo pagos a cambio de devolverte la cuenta, corta la comunicación y reporta el intento. Por último, revisa la configuración de tu buzón de voz y cambia el PIN por defecto de inmediato.
Recuerda que la Línea de Ayuda en Ciberseguridad de INCIBE, el 017, atiende todos los días entre las 08:00 y las 23:00. Este recurso público ofrece orientación técnica y legal para personas y empresas.
Endurece tu seguridad: ajustes clave que debes activar
Activa la verificación en dos pasos dentro de la app. Encontrarás la opción en Ajustes, Cuenta y Verificación en dos pasos. Con un PIN adicional, si alguien obtiene el código de seis dígitos, seguirá sin poder registrar tu cuenta en otro dispositivo.
Configura un PIN robusto en tu buzón de voz o desactívalo si no lo usas. Evita combinaciones predecibles y aléjate de los clásicos 0000 o 1234. Consulta con tu operadora cómo cambiar el código y cómo inhabilitar el acceso remoto si no lo necesitas.
No compartas el código de verificación bajo ningún concepto. Ni amigos, ni familiares, ni supuestos técnicos deben pedirlo. Si te llega un mensaje sospechoso, verifica por llamada con la persona antes de actuar.
Refuerza tu privacidad básica: limita la visibilidad de tu foto de perfil a Mis contactos, revisa quién puede ver tu información y aplica sentido común ante mensajes inesperados que solicitan dinero o datos urgentes.
Protege bien el buzón de voz: el eslabón débil del ataque
El buzón es el objetivo por una razón: si la llamada de verificación no se atiende, la locución deja el código grabado. Para cerrar esa brecha, crea un PIN largo y no secuencial, evita fechas o repeticiones y cambia periódicamente la clave.
Pregunta a tu operadora cómo desactivar el acceso remoto al buzón, de modo que solo pueda consultarse desde tu propio móvil y tras introducir el PIN. Si no usas el buzón, valora deshabilitarlo. Eliminar lo que no necesitas reduce riesgos de forma directa.
Detalles operativos que suelen delatar el fraude
Las llamadas iniciales suelen llegar desde números extranjeros o numeraciones extrañas. El objetivo es que no respondas para que el sistema derive la locución al buzón. En ocasiones, verás también llamadas perdidas registradas en el propio buzón.
No es raro que el atacante obtenga tu número porque estaba en la lista de contactos de una persona cercana que ya fue atacada. Tras tomar el control de tu cuenta, intentarán monetizarla rápidamente y aprovechar tu reputación para extender el fraude.
Buenas prácticas de contención y comunicación
Además de informar a tu agenda, conviene publicar un aviso breve en tus canales habituales de comunicación si los tienes, explicando que tu WhatsApp ha sido suplantado y que no deben atender solicitudes de dinero ni abrir enlaces recientes.
En el ámbito profesional, si gestionas cuentas corporativas, documenta el incidente y notifica al equipo de seguridad o al responsable de protección de datos. La transparencia y la rapidez reducen el daño reputacional.
Qué dicen los organismos y medios especializados
El Instituto Nacional de Ciberseguridad ha difundido varias alertas explicando este modus operandi y sus medidas correctoras. Medios generalistas y tecnológicos también han descrito el proceso, haciendo hincapié en que el ataque no exige interacción por parte de la víctima y en la importancia de actuar con rapidez para revertirlo.
Pequeña nota sobre la calidad de la información online
Algunos portales incorporan formularios de valoración para que el lector indique si el contenido le ha resultado útil. En esas encuestas, a veces se permite marcar varias opciones como Diseño, Navegación dentro del sitio, Claridad y precisión de la información, Organización de los contenidos o Lenguaje utilizado. Estas herramientas ayudan a mejorar la presentación y comprensibilidad de las guías de seguridad, algo fundamental cuando se trata de prevenir fraudes.
Si te roban la cuenta de WhatsApp por el buzón de voz es porque aún no cuentas con un sistema de seguridad adecuado, bien sea por un PIN sólido o desactivando el servicio Es importante añadir la verificación en dos pasos y desconfiar de urgencias y códigos de seis dígitos. Si ya te afectó, registra de nuevo tu número, coordina con soporte y tu operadora, documenta todo, denuncia y corta cualquier intento de extorsión. Con estas medidas y una reacción rápida, el margen de maniobra de los delincuentes se reduce de forma drástica. Comparte el tutorial y ayuda a otros usuarios a mejorar la seguridad en WhatsApp.
Continúar leyendo...