- El timo del código de WhatsApp aprovecha la ingeniería social para robar cuentas mediante el código de seis dígitos enviado por SMS.
- Los delincuentes se hacen pasar por contactos de confianza o por soporte técnico para obtener el código y secuestrar la cuenta.
- La verificación en dos pasos y no compartir nunca códigos ni datos sensibles son las mejores defensas contra estas estafas.
- Si la cuenta es robada, hay que recuperar el acceso cuanto antes, avisar al banco si hay pagos y denunciar ante las autoridades.
El timo del código de WhatsApp se ha convertido en uno de los engaños más frecuentes en España. Cada semana hay personas que pierden su cuenta porque alguien, haciéndose pasar por un familiar, un amigo o incluso por el soporte de la app, les convence para que compartan un simple código de seis dígitos que llega por SMS. Ese gesto tan inocente es justo lo que permite que los ciberdelincuentes tomen el control total de la cuenta.
En las últimas fechas, tanto la Policía Nacional, la Guardia Civil como el INCIBE han lanzado avisos insistentes sobre este fraude, ya que está creciendo a gran velocidad y afecta tanto a particulares como a empresas. Detrás siempre hay la misma idea: usar técnicas de ingeniería social para que sea la víctima, sin darse cuenta, quien entregue la llave de acceso a su propio WhatsApp, y a partir de ahí pedir dinero, robar información o seguir expandiendo la estafa entre sus contactos.
Qué es el timo del código de WhatsApp y por qué es tan peligroso
Cuando hablamos del timo del código de WhatsApp nos referimos a la estafa de los seis dígitos, también conocida como secuestro de cuenta de WhatsApp. En esencia, los delincuentes intentan registrar tu número de teléfono en un móvil que controlan; WhatsApp, por seguridad, envía un SMS con un código de verificación al titular legítimo del número, y los estafadores solo necesitan convencerte para que se lo pases.
Los cuerpos de Seguridad han detectado que este engaño se presenta de formas muy variadas, pero todas comparten el mismo objetivo: conseguir el código de verificación que llega a tu móvil. A veces el mensaje parece venir de un amigo, otras de un supuesto técnico de WhatsApp que te avisa de que tu cuenta está en riesgo, y en ocasiones de un conocido que dice haber cambiado de teléfono y al que “no le llega” el código. El detalle común es que intentan generar prisa o preocupación para que no pienses demasiado.
Una vez que la víctima facilita esos seis dígitos, el atacante toma control de la cuenta en segundos. Automáticamente, el usuario legítimo queda expulsado de su propio WhatsApp, deja de poder entrar en sus chats y, en muchos casos, recuperar el acceso puede ser un proceso largo y tedioso que exige contactar con el soporte de la plataforma.
Este control total permite realizar acciones muy sensibles: los ciberdelincuentes pueden leer conversaciones, acceder a las copias de seguridad, consultar la agenda de contactos, cambiar la foto de perfil o incluso activar nuevas medidas de seguridad para dificultar que el verdadero dueño recupere la cuenta. Además, con toda esa información es mucho más sencillo suplantar la identidad y engañar a otras personas.
Caso típico: “he cambiado de móvil, no me llega el código, ¿puedo usar tu número?”
Uno de los formatos más habituales del timo del código de WhatsApp comienza con un mensaje totalmente cotidiano de un contacto que, en principio, parece de plena confianza. Puede ser un amigo, un familiar o alguien con quien hablas a menudo por la aplicación. Precisamente por eso, muchas víctimas bajan la guardia al instante.
En este tipo de conversación, la persona te escribe algo como: “He cambiado de móvil y estoy intentando pasar mi WhatsApp al nuevo pero no me llega el código, ¿puedo poner tu número para que te llegue a ti y luego me lo pasas?”. La petición se plantea de forma muy informal, con faltas de ortografía o frases coloquiales, lo que da una falsa sensación de naturalidad y cercanía.
Sin embargo, quienes han analizado estas estafas han comprobado que ese mensaje no lo escribe realmente tu contacto, sino un delincuente que ya ha robado su cuenta. Una vez se hace con el acceso, utiliza el perfil de esa persona para seguir extendiendo el fraude: se dirige a otros contactos cercanos y, apoyándose en la confianza ya establecida, intenta conseguir nuevos códigos y nuevas cuentas.
Cuando aceptas y le pasas el código de seis dígitos que te ha llegado por SMS, lo que estás haciendo en realidad es autorizar el registro de tu número en el dispositivo del estafador. WhatsApp entiende que el nuevo móvil es el legítimo y te desconecta a ti de inmediato. A partir de ese momento, el atacante puede repetir el proceso con tus amigos y familiares, creando una cadena de víctimas que se va multiplicando.
El problema añadido es que el delincuente accede a todas tus conversaciones, incluidas las que contienen datos personales, información bancaria o documentos sensibles. Aunque no siempre las utilicen de forma directa, estos datos sirven para hacer que futuras estafas sean más creíbles, al incluir detalles que solo alguien cercano debería conocer.
El falso soporte técnico de WhatsApp y la estafa de los seis dígitos
Otra variante muy extendida del timo del código de WhatsApp se basa en la suplantación del equipo de soporte o seguridad de la aplicación. En este caso, el mensaje intenta aparentar un aviso oficial, con un tono serio y hasta con logotipos o nombres que recuerdan a la empresa desarrolladora de la app.
El contenido suele girar en torno a un supuesto problema de seguridad: te dicen que tu cuenta ha sido “robada”, “bloqueada” o que han detectado “actividad sospechosa”. A continuación, te informan de que la única forma de evitar la eliminación de la cuenta es facilitar el código de verificación que, según indican, se te ha enviado por SMS. Incluyen avisos alarmistas para que actúes rápido, como que perderás chats, fotos o contactos si no colaboras de inmediato.
Esta táctica, señalada por la Guardia Civil y por el INCIBE, es un ejemplo claro de ingeniería social. Los atacantes buscan que dejes de pensar de forma racional y respondas con miedo o urgencia. La clave está en que, por diseño, WhatsApp nunca te pedirá ese código por chat, ni por mensaje directo ni por canales alternativos. Si alguien lo hace, es un fraude.
En el momento en que el usuario cede y comparte los seis dígitos, el resultado es el mismo que en otras variantes del timo: el estafador se hace con la cuenta, puede cambiar configuraciones, ver tus grupos, contactar con tus amigos o incluso activar una verificación adicional que complicará todavía más recuperar el acceso.
La Policía Nacional insiste en que cualquier mensaje que solicite códigos recibidos por SMS, sea de quien sea, debe generar desconfianza. Si además llega acompañado de amenazas veladas (pérdida de la cuenta, cierre inmediato, sanciones) o de una necesidad de actuar “ya mismo”, la probabilidad de que se trate de una estafa es muy alta.
Cómo funciona el secuestro de cuentas paso a paso
El Instituto Nacional de Ciberseguridad explica que el llamado secuestro de WhatsApp se construye sobre técnicas de ingeniería social bastante sencillas, pero muy efectivas. Los atacantes solo necesitan conocer el número de teléfono de la víctima y disponer de un dispositivo con la aplicación instalada donde intentar registrar esa cuenta.
Cuando el ciberdelincuente inicia el proceso de registro con tu número, la propia aplicación envía un SMS con un código de verificación al móvil legítimo. Ese mensaje suele decir algo como: “Tu cuenta está siendo registrada en un nuevo dispositivo. No compartas este código con nadie. Tu código es XXX-XXX”. Es en ese punto donde entra en juego el engaño: el atacante contacta contigo, usando un perfil suplantado o uno totalmente nuevo, y te convence para que le reenvíes ese código.
Si la víctima cae en la trampa y remite los seis dígitos, el registro se completa con éxito en el teléfono del estafador. El sistema entiende que el nuevo dispositivo es quien debe tener el control, de modo que cierra la sesión en el teléfono original. Para el usuario afectado, el síntoma más evidente es que deja de poder acceder a su WhatsApp, o aparece un mensaje indicando que la cuenta está activa en otro dispositivo.
A partir de ese instante, el atacante dispone de un abanico amplio de posibilidades: puede leer los mensajes que reciba la cuenta, mandar textos a contactos individuales o a grupos, solicitar dinero, compartir enlaces maliciosos, o incluso explorar el historial de chats y documentos si ha conseguido restaurar la copia de seguridad.
Según recomiendan tanto Policía Nacional como INCIBE, si detectas que tu cuenta ha sido comprometida, debes tratar de registrar de nuevo tu número en tu propio dispositivo lo antes posible, antes de que el delincuente active capas extra de seguridad. Al hacerlo, se enviará un nuevo código por SMS y, si nadie más lo conoce, podrás recuperar el control. En paralelo, conviene informar al soporte oficial de WhatsApp y presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, además de llamar al 017 (la línea de ayuda en ciberseguridad) para recibir orientación.
Otras estafas habituales que circulan por WhatsApp
El fraude del código de verificación no es la única amenaza que circula por esta app. Las autoridades y los expertos en ciberseguridad advierten de varias estafas recurrentes en WhatsApp que también se basan en la ingeniería social y que pueden afectar tanto a usuarios particulares como a empresas.
Una de las más sencillas, pero frecuentes, empieza con el típico mensaje de “Hola, ¿cómo estás?” desde un número desconocido. Detrás suele haber un estafador que intenta entablar conversación para obtener datos personales, como tu nombre completo, correo, ciudad, situación laboral o incluso información financiera. En ocasiones, se hacen pasar por una marca conocida que ofrece premios o promociones “exclusivas” y te envían un enlace a una página fraudulenta donde te piden que rellenes un formulario con tus datos.
Otra estafa más sofisticada, orientada al mundo empresarial, es el llamado fraude del CEO por WhatsApp. En este caso, el ciberdelincuente se hace pasar por un alto cargo de la empresa (director general, responsable financiero, etc.) y contacta por mensaje con algún empleado del área económica o administrativa. Aprovecha datos reales de la compañía para sonar convincente y pide, con mucha urgencia y confidencialidad, la realización de una transferencia importante para cerrar un supuesto negocio clave.
La insistencia en la prisa, la confidencialidad extrema y los halagos hacia el trabajador son pistas claras de este tipo de ataque. El objetivo es que el empleado no contraste la petición por otros canales (llamada directa, correo oficial) y ejecute la pago sin verificar la identidad del remitente. Cuando el engaño se detecta, el dinero ya ha volado a una cuenta difícil de rastrear.
También se ha popularizado el llamado “timo del familiar extranjero”. El usuario recibe un mensaje de alguien que asegura ser un pariente que vive fuera, pero nunca dice su nombre. En lugar de identificarse, anima al receptor a que “adivine” quién es. Si la persona tiene algún familiar con el que habla poco, es probable que caiga en la trampa y mencione un nombre. A partir de ahí, el estafador ya sabe a quién debe interpretar y, con esa coartada, solicita dinero o datos sensibles.
En muchas ocasiones, estos engaños implican además robo de datos personales y bancarios. Los delincuentes pueden usar esa información posteriormente en nuevas estafas, o bien venderla en mercados ilegales. De ahí la importancia de cortar de raíz cualquier conversación sospechosa y no compartir información privada con números desconocidos o perfiles dudosos.
Cómo detectar que te están intentando estafar por WhatsApp
Existen una serie de señales que, sumadas, ayudan a identificar si estás frente a un posible intento de fraude. La primera y más evidente es que el mensaje procede de un número que no tienes guardado en tu agenda. Aunque esto no es garantía de que sea una estafa (todos recibimos mensajes legítimos de desconocidos), sí es motivo para extremar la prudencia.
Otro indicador habitual es que el remitente evita dar datos concretos. En el caso del supuesto familiar, no dice su nombre ni el parentesco; en el fraude del CEO, no aporta detalles verificables sobre su cargo o circunstancias; en las promociones falsas, la información sobre la empresa o la web oficial es confusa o directamente inexistente. También es común que se mezclen mayúsculas y minúsculas de forma extraña, o que el texto presente numerosas faltas de ortografía y errores gramaticales.
Los mensajes de este tipo suelen jugar con la urgencia: “es muy importante”, “tiene que ser hoy”, “si no lo haces ahora pierdes la oportunidad” o similares. Esa presión temporal es una herramienta para que no te detengas a pensar con calma ni compruebes por otros medios si lo que te cuentan es cierto. Si notas que desde el otro lado del chat insisten mucho en que respondas rápido y casi te regañan por tardar, hay motivos para sospechar.
En el ámbito financiero, otra señal de alarma es que te propongan enviar dinero mediante métodos rápidos como Bizum, transferencias inmediatas u otros sistemas similares, sin ofrecer documentación o justificantes claros. Los delincuentes aprovechan que estos servicios permiten mover pequeñas cantidades en segundos y son muy cómodos para cualquier usuario.
Por último, conviene desconfiar siempre que alguien se identifique como entidad bancaria, organismo oficial o soporte técnico a través de WhatsApp. Los bancos no solicitan claves ni datos sensibles mediante esta app, y el soporte oficial de plataformas digitales nunca pedirá por chat los códigos de verificación recibidos por SMS. Si un supuesto “técnico” te pide algo así, lo más prudente es cortar la conversación y, si tienes dudas, llamar a los canales oficiales conocidos.
Cómo evitar caer en el timo del código de WhatsApp y en otras estafas
La mejor defensa frente a este tipo de fraudes es combinar desconfianza sana y buenas prácticas de seguridad; descubre cómo evitar el fraude financiero. Lo primero y más importante: nunca compartas con nadie un código de verificación que te llegue por SMS, ya sea para acceder a WhatsApp, a tu correo, a redes sociales o a cualquier otra cuenta. Esos códigos son personales e intransferibles.
Aunque el mensaje te llegue supuestamente de tu pareja, tu hijo o tu madre, tómate un momento para verificar la petición por otro canal. Llama por teléfono, manda una nota de voz preguntando algo muy concreto que solo esa persona sabría o contacta por otra red social. Si al otro lado hay un estafador, es muy probable que no pueda sostener la conversación sin contradecirse.
Otra medida fundamental es activar la verificación en dos pasos de WhatsApp. Esta función permite establecer un PIN de seis cifras que se solicitará cuando alguien intente registrar tu cuenta en un nuevo dispositivo, aunque ya tenga el código de verificación por SMS. De esta forma, aunque un ciberdelincuente consiga tus seis dígitos, se encontrará con una segunda barrera que no podrá superar sin conocer ese PIN.
Para activar esta capa extra, hay que abrir WhatsApp, ir a Ajustes, después a Cuenta, pulsar en “Verificación en dos pasos” y seguir las instrucciones. El sistema permite también añadir una dirección de correo electrónico de recuperación, algo recomendable para restablecer el PIN en caso de olvido. Es una configuración que lleva menos de un minuto y que reduce muchísimo el riesgo de perder tu cuenta.
Además de esto, conviene no responder a mensajes extraños, bloquear de inmediato a quienes pidan datos personales o dinero sin una razón clara y, en caso de que se haya iniciado una conversación, evitar proporcionar información que pueda ser utilizada en futuros ataques (como documentos de identidad, cuentas bancarias, direcciones o fotografías sensibles).
Qué hacer si ya has sido víctima de una estafa en WhatsApp
Si sospechas que has caído en el timo del código de WhatsApp o en cualquier otra estafa similar, el primer paso es actuar con rapidez. Si aún tienes acceso a tu cuenta, entra en la conversación sospechosa, pulsa sobre los tres puntos de la esquina superior derecha, selecciona la opción “Reportar” o “Reportar y bloquear” y sigue las indicaciones para informar a la plataforma y cortar todo contacto.
En el caso de que ya te hayan robado la cuenta y no puedas entrar, intenta registrar de nuevo tu número en tu propio teléfono cuanto antes. WhatsApp volverá a mandarte un código por SMS y, si nadie más lo conoce, recuperarás el control del perfil. Es importante que no reenvíes ese nuevo código a nadie, aunque supuestamente te estén “ayudando” desde otros canales.
Si has compartido datos financieros o has enviado dinero, debes contactar inmediatamente con tu banco para explicar la situación y solicitar que bloqueen tarjetas, cuentas o movimientos sospechosos. En algunos casos, si se actúa rápido, es posible detener operaciones fraudulentas o minimizar el daño económico.
También es muy recomendable que presentes denuncia ante Policía Nacional, Guardia Civil o el cuerpo autonómico correspondiente. Tu testimonio ayuda a las autoridades a detectar patrones de actuación, desarticular redes de estafadores y prevenir que otras personas caigan en el mismo engaño. Para orientación adicional, puedes llamar al 017, la línea gratuita de ayuda en ciberseguridad gestionada por el INCIBE.
Por último, si han accedido a tus conversaciones, valora cambiar contraseñas de otros servicios en los que pudieras haber compartido información por WhatsApp y advierte a tus contactos de lo ocurrido. De esta forma, reducirás las posibilidades de que los delincuentes sigan aprovechando tu identidad para engañar a otras personas de tu entorno.
El auge del timo del código de WhatsApp ilustra cómo los ciberdelincuentes aprovechan la popularidad de esta aplicación para multiplicar sus víctimas, pero también demuestra que, con un poco de desconfianza, medidas sencillas como la verificación en dos pasos y el hábito de no compartir códigos ni datos sensibles por chat, es posible mantener la cuenta a salvo, frenar la expansión de estas estafas y moverse por la mensajería instantánea con mucha más tranquilidad.
