Tiene 38 mensajes sin leer en la aplicación, pero el que abre no es una notificación cualquiera: es el mensaje que le pide a María que “verifique su cuenta” con un código de seis dígitos. El que viene después es la solicitud del “amigo” para que reenvíe ese código. En menos de una hora, la cuenta de María cambió de número y sus contactos recibieron un pedido de dinero.

Observamos escenas como esa todos los días: no son películas ni tramas extraordinarias; son exploits de la confianza que se construye en una app que usamos para todo. El detalle que lo cambia todo: el código de verificación, ese número que damos con la confianza de que es un trámite técnico y que, en manos equivocadas, abre cuentas, billeteras y puertas de reputación.

Por qué WhatsApp es terreno fértil

Según Meta, WhatsApp superó los 2.000 millones de usuarios en 2020 (Meta, 2020). Esa escala convierte a la plataforma en un canal masivo para comunicarse y también para estafar. La app se sostiene sobre dos activos: la facilidad para agregar contactos con número de teléfono y la confianza implícita que tenemos en los mensajes de contactos cercanos.

El cifrado de extremo a extremo protege el contenido frente a intercepciones, pero no impide que un estafador engañe a un usuario para que entregue permisos, códigos o datos. Además, la dependencia del teléfono como identidad —un objeto físico y transferible— crea vectores de ataque que no existen en sistemas con identidades más rígidas.

Cuánto cuestan las estafas por mensajería

El fraude online tiene un costo creciente. Según el FBI Internet Crime Complaint Center (IC3), las pérdidas totales por fraudes reportados en 2022 alcanzaron USD 10.3 mil millones, frente a USD 6.9 mil millones en 2021 (FBI IC3, 2022). Esa comparación interanual muestra una aceleración notable del daño económico asociado a estafas digitales.

La cifra del FBI no diferencia por canal, pero investigaciones de seguridad y reportes de consumidores coinciden en que la mensajería instantánea —incluido WhatsApp— es un vector en claro ascenso: su combinación de confianza personal, rapidez y facilidad para compartir enlaces o códigos lo hace especialmente efectivo para estafadores.

Tipos de estafas más comunes en WhatsApp

Enumeramos los patrones recurrentes que vemos en los foros de ayuda y en los reportes de seguridad.

  • Suplantación de identidad (SIM swap y secuestro de cuentas): el atacante consigue el código de verificación o el control del número y registra la cuenta en otro dispositivo.
  • Fraude por suplantación de contactos: un mensaje parece venir de un amigo o familiar pidiendo dinero urgente; muchas víctimas pagan antes de verificar por teléfono.
  • Ofertas falsas y phishing: enlaces que prometen sorteos, trabajo o devoluciones de impuestos llevan a páginas que recogen datos o instalan software malicioso.
  • Fraudes a cuenta de empresas: perfiles que imitan comercios piden transferencias frente a supuestas entregas o servicios.

Cada técnica usa la misma palanca: urgencia emocional y presión para actuar rápido. Vemos que cuando se sobreactiva la necesidad —“necesito plata ya”, “te mandé un código”— la racionalidad entra en segundo plano.

Cómo operan los estafadores: anatomía de un ataque

Un ataque típico combina reconocimiento, ingeniería social y automatización.

  1. Recolección: el atacante recopila números y nombres de redes sociales; a veces compra bases de datos.
  2. Prueba: envía mensajes de comprobación para identificar cuentas activas o respuestas automáticas.
  3. Engaño: un mensaje personalizado (suplantación de un contacto, oferta convincente, amenaza falsa) busca que la víctima entregue un dato o código.
  4. Explotación: con el dato obtenido, el atacante toma control de la cuenta o del dinero; a menudo usa la cuenta secuestrada para replicar el fraude con la libreta de contactos.

La velocidad es clave: en muchos casos la segunda víctima es un familiar o contacto que confía en el remitente, y el estafador usa esa confianza como multiplicador.

La responsabilidad de las plataformas y los límites del cifrado

La discusión pública suele polarizarse: cifrado sí o no. Nosotros vemos que la pregunta relevante es otra: cómo diseñan y transparentan las plataformas las herramientas de prevención y los canales de respuesta.

WhatsApp implementa funciones como verificación en dos pasos y avisos sobre mensajes reenviados; son medidas útiles, pero insuficientes sin transparencia operativa y mejores flujos de denuncia. Las plataformas conocen patrones masivos de abuso y podrían ofrecer datos agregados que permitan políticas públicas más eficaces.

Exigimos —en la misma línea que pedimos transparencia en otras áreas— datos públicos sobre incidentes, semánticas de abuso y efectividad de bloqueos. Sin métricas y auditorías independientes, la respuesta queda en manos de algoritmos opacos o de medidas reactivas.

Qué puede hacer el usuario: medidas prácticas y verificables

Vemos tres capas de defensa: técnica, ritual y comunitaria.

Medidas técnicas

  • Activar la verificación en dos pasos (PIN) en WhatsApp y no compartir códigos de seis dígitos con nadie. Guardar la copia de seguridad en un lugar seguro.
  • Usar bloqueos biométricos o de pantalla en el teléfono para añadir una barrera física.
  • Evitar instalar APKs fuera de tiendas oficiales y mantener el sistema operativo actualizado.

Medidas rituales (hábitos)

  • Desconfiar de mensajes que piden códigos o dinero y confirmar por llamada o video antes de enviar dinero.
  • No reenviar cadenas o mensajes que pidan compartir para “gana r” o “ayudar”.
  • Enseñar a familiares vulnerables (adultos mayores) a no compartir códigos ni aceptar cambios de cuenta sin confirmación externa.

Medidas comunitarias

  • Si se recibe un pedido extraño de un contacto, avisar a otros para cortar la cadena.
  • Denunciar a la plataforma y, cuando proceda, a la policía o entidad bancaria.

Qué hacer si ya fuiste víctima

Actuar rápido reduce daños. Recomendamos este flujo general:

  1. Reportar la cuenta secuestrada a WhatsApp desde otro número o correo (WhatsApp dispone de formularios de ayuda). 2. Avisar a la lista de contactos para que no respondan a pedidos de dinero desde la cuenta comprometida. 3. Contactar al banco o servicio de pago si hubo transferencias; pedir reversos o alertas. 4. Denunciar a la autoridad competente: muchas fiscalías tienen unidades de ciberdelitos.

No hay garantías totales de recuperación, pero la rapidez y la documentación aumentan las posibilidades de recuperar fondos o al menos de limitar la difusión.

Regulación, datos públicos y prevención masiva

La respuesta pública debería combinar tres vectores: regulación que obligue a transparencia operativa, campañas nacionales de prevención y protocolos bancarios frente a transferencias denunciadas.

En otras áreas, como la seguridad vial o la salud pública, las políticas que reducen daños combinan datos, educación y responsabilidad corporativa. Lo mismo aplica acá: necesitamos estadísticas públicas sobre incidentes, alertas tempranas y estándares mínimos de respuesta de las plataformas. Exigimos claridad y datos —no slogans— para construir políticas efectivas.

Miradas largas: por qué esto importa más allá del dinero

Las estafas erosionan confianza. En comunidades donde la mensajería es el tejido social, el fraude por WhatsApp no solo genera pérdidas económicas: rompe la confianza entre vecinos, daña reputaciones y complica la comunicación entre generaciones.

Además, la normalización del fraude produce externalidades: sube el costo de hacer negocios por mensajería, impulsa el uso de canales menos privados o empuja a la gente a sistemas centralizados con control mayor. Es decir: las estafas no son sólo un problema individual, son un problema de infraestructura social.

Conclusión: tareas concretas para reducir el daño

Vemos tres prioridades inmediatas:

  • Empoderar a los usuarios con educación práctica y campañas focalizadas en grupos vulnerables.
  • Exigir a las plataformas datos públicos y protocolos claros de bloqueo y recuperación.
  • Coordinar a bancos, empresas de mensajería y fuerzas de seguridad para protocolos de respuesta rápida frente a transferencias denunciadas.

Nadie propone eliminar la mensajería privada. Proponemos otro camino: menos indulgencia con la opacidad y más inversiones en resiliencia digital. Si queremos que las aplicaciones sigan siendo espacios de confianza, hacen falta reglas claras, responsabilidad y ciudadanos informados.

Preguntas frecuentes

¿Cómo se cuelga un estafador de mi cuenta de WhatsApp?

El atacante suele obtener un código de verificación que WhatsApp envía al número por SMS o llamada; con ese código puede registrar la cuenta en otro dispositivo. También se usan técnicas de “SIM swap” para redirigir mensajes al dispositivo del atacante. No compartir códigos ni datos evita la mayoría de estos ataques.

¿Qué hago si me piden un código que me llegó por mensaje?

No compartir el código con nadie y verificar la solicitud por otro canal: llamar al contacto o pedir una videollamada. Si ya lo compartiste, intentar recuperar la cuenta con la verificación en dos pasos y notificar a tus contactos para que no atiendan pedidos de dinero desde tu cuenta hasta resolver la situación.

¿Puede WhatsApp ayudar a recuperar dinero perdido?

WhatsApp puede colaborar bloqueando cuentas y proporcionando información a autoridades cuando hay investigaciones formales, pero no puede revertir transferencias bancarias. Contactar al banco o servicio de pago y denunciar ante la justicia es clave para intentar recuperar fondos.