Ciberseguridad en mensajería: La nueva modalidad de estafa en WhatsApp con decenas de llamadas y secuestro de cuentas

Una evolución en las tácticas de ciberdelincuencia ha emergido en WhatsApp. La nueva estafa combina una ráfaga de llamadas perdidas de spam con ingeniería social, buscando saturar la línea del usuario para interceptar el código de verificación de seis dígitos y lograr el secuestro de la cuenta y el robo de chats.

Esta nueva modalidad de estafa se enfoca en obtener el código de verificación de seis dígitos que WhatsApp envía por SMS para la activación de la cuenta en un nuevo dispositivo. El método opera en varias etapas coordinadas:

1. Llamadas Masivas: El atacante inicia una serie de llamadas de spam o llamadas perdidas a la víctima, buscando intencionalmente saturar la línea telefónica.
2. Activación Silenciosa: Mientras la línea está ocupada (o la víctima ignora las llamadas), el ciberdelincuente intenta registrar la cuenta de WhatsApp de la víctima en su propio dispositivo.
3. Desvío al Buzón de Voz: Como el teléfono de la víctima está ocupado por la ráfaga de llamadas, el código de verificación de seis dígitos que WhatsApp envía para activar la cuenta se desvía automáticamente al buzón de voz.
4. Acceso al Buzón: El estafador llama al número del buzón de voz e intenta acceder utilizando códigos PIN genéricos o predeterminados (como 0000 o 1234), que muchos usuarios nunca modifican.
5. Obtención del Código: Si el atacante tiene éxito en el hackeo del buzón, obtiene el código de seis dígitos y activa la cuenta de la víctima en su propio teléfono.
6. Secuestro de Chats: La cuenta de la víctima se cierra en su dispositivo original y el estafador toma control de su perfil, accediendo a contactos, historiales de chats y datos personales.
7. Extorsión: Finalmente, los delincuentes utilizan la cuenta secuestrada para extorsionar a los contactos pidiendo dinero urgente o realizando otras estafas de suplantación de identidad.

Medidas de protección clave: Cómo blindar su cuenta

La efectividad de esta estafa se basa en fallas de seguridad que el usuario puede corregir. Para mitigar el riesgo de secuestro de cuenta, es esencial tomar dos medidas de seguridad inmediatas y comprobadas:

1. Activar la Verificación en Dos Pasos (Doble Factor): Esta es la defensa más robusta. Permite al usuario crear un PIN de seis dígitos propio que se debe ingresar cada vez que la cuenta se activa en un nuevo dispositivo. Incluso si el atacante obtiene el código SMS, no podrá acceder sin este PIN adicional. (Ruta: Configuración > Cuenta > Verificación en dos pasos > Activar).
2. Cambiar el PIN del Buzón de Voz: Es crucial modificar la contraseña predeterminada del buzón de voz (si la línea lo permite) para evitar que los atacantes accedan a los mensajes que contienen el código de verificación de WhatsApp.

Precisión y precaución: WhatsApp no solicita códigos

Es fundamental recordar que la comunicación oficial de WhatsApp o de la empresa matriz Meta nunca incluirá llamadas telefónicas solicitando el código de verificación o pidiendo ingresar enlaces para “solucionar un problema”.

Cualquier comunicación de este tipo es un intento de phishing o ingeniería social. Ante cualquier llamada o mensaje sospechoso, la recomendación es no interactuar, colgar inmediatamente y bloquear el número.