WhatsApp no es solo una app de mensajes. Para la mayoría de personas es el sitio donde están sus conversaciones más privadas, sus fotos personales, sus grupos familiares, sus contactos de trabajo y en muchos casos datos bancarios que se comparten por ahí sin pensarlo demasiado. Perder el control de esa cuenta no es un inconveniente menor. Es un problema serio.
Lo que complica aún más las cosas es que el hackeo de WhatsApp no siempre es evidente. Puedes seguir usando la app con total normalidad mientras alguien, en otro dispositivo, lee cada mensaje que recibes, cada conversación que tienes. Días o semanas pueden pasar antes de que notes algo raro. Y para entonces el daño ya está hecho.
Por qué WhatsApp es especialmente vulnerable
La mayoría de servicios protegen el acceso con una contraseña. WhatsApp no funciona así. Tu cuenta está vinculada a tu número de teléfono, no a una clave que solo tú conoces. Eso significa que quien controle tu número puede acceder a tu WhatsApp. Y hay formas de conseguir ese control sin que te roben físicamente el móvil.
A esto se suma WhatsApp Web. Si alguien tiene tu móvil en la mano durante unos segundos, puede escanear el código QR desde su ordenador y a partir de ese momento leer todas tus conversaciones en tiempo real. Sin contraseña, sin verificación adicional, sin que tú lo notes.
Cómo consiguen entrar en tu cuenta
El truco del código de verificación
Es la técnica más usada y la más efectiva. Funciona así: el estafador intenta registrar tu número de WhatsApp en su dispositivo. WhatsApp te envía un SMS con un código de seis dígitos para verificar que eres tú. En ese momento el estafador te manda un mensaje, normalmente desde una cuenta ya comprometida de alguien que conoces, diciéndote que ese código llegó a tu móvil por error y que se lo reenvíes.
Si lo haces, en segundos pierde el acceso a tu cuenta. Ese código era la llave. Nunca lo compartas con nadie, bajo ninguna circunstancia y con ninguna excusa.
El SIM swapping
El estafador llama a tu operadora de telefonía haciéndose pasar por ti. Dice que ha perdido el móvil y solicita un duplicado de la SIM. Si la operadora no verifica bien la identidad, emite el duplicado. Tu SIM deja de funcionar y la del estafador empieza a recibir tus llamadas y SMS, incluyendo los códigos de verificación de WhatsApp y de cualquier otro servicio.
Para protegerte activa el PIN de la SIM desde los ajustes de tu móvil y pide a tu operadora que añada verificación adicional para cualquier solicitud de duplicado.
WhatsApp Web que nadie cerró
Si en algún momento iniciaste sesión en WhatsApp Web desde un ordenador que no era tuyo y no cerraste la sesión al terminar, esa persona puede seguir teniendo acceso a todas tus conversaciones en tiempo real. La sesión permanece activa hasta que alguien la cierra manualmente.
Malware en el dispositivo
Algunas apps maliciosas instaladas fuera de las tiendas oficiales pueden capturar los mensajes de WhatsApp directamente desde el dispositivo. Es una vía menos frecuente pero existe, especialmente en Android cuando se instalan apps de fuentes no oficiales.
Señales de que algo va mal
Hay cosas concretas que deben hacerte actuar de inmediato.
Si un contacto te escribe preguntándote por qué le mandaste algo que tú no enviaste, alguien está usando tu cuenta. Si varios contactos te dicen que les has pedido dinero o información que tú nunca solicitaste, tu cuenta está siendo usada activamente para estafar a tu agenda.
También debes prestar atención si encuentras mensajes marcados como leídos que tú no has abierto, o conversaciones con mensajes enviados que no recuerdas haber escrito. Y si de repente WhatsApp te pide verificar tu número cuando abres la app, es una señal de que alguien ha intentado registrar tu número en otro dispositivo.
La comprobación más directa la puedes hacer ahora mismo: ve a los tres puntos del menú de WhatsApp, selecciona Dispositivos vinculados y mira si hay algún dispositivo conectado que no reconoces.
Cómo proteger tu cuenta paso a paso
Lo más importante: activa la verificación en dos pasos
Sin esto, tu cuenta es vulnerable. La verificación en dos pasos añade un PIN de seis dígitos que se solicita cada vez que alguien intenta registrar tu número en un dispositivo nuevo. Aunque consigan tu código de verificación SMS, sin el PIN no pueden completar el acceso.
Para activarla ve a WhatsApp → Ajustes → Cuenta → Verificación en dos pasos. Elige un PIN que no uses en ningún otro sitio y añade un correo de recuperación por si alguna vez lo olvidas.
Revisa los dispositivos vinculados
Entra en WhatsApp → Menú → Dispositivos vinculados y comprueba que solo aparecen los dispositivos que reconoces. Si hay alguno sospechoso, cierra esa sesión directamente desde ahí. Hazlo cada pocas semanas como hábito.
Protege tu SIM
Activa el PIN de la tarjeta SIM desde Ajustes → Seguridad → Bloqueo de tarjeta SIM. Así, aunque alguien consiga un duplicado físico de tu SIM, no podrá usarla sin ese PIN. También puedes llamar a tu operadora y pedir que añadan verificación adicional para cualquier solicitud de duplicado de SIM a tu nombre.
Limita lo que expones públicamente
Ve a WhatsApp → Ajustes → Privacidad y configura quién puede ver tu foto de perfil, tu estado y tu última conexión. Cuanta menos información visible tienes, menos datos tienen los estafadores para usarte en tu contra o para hacerse pasar por ti.
Qué hacer si ya han entrado en tu cuenta
Actúa rápido. Cada hora que pasa es una hora más en que el estafador puede estar mandando mensajes a tus contactos en tu nombre.
Intenta recuperar el acceso registrando tu número de nuevo en WhatsApp desde tu móvil. La app te enviará un código de verificación por SMS. Si el estafador ha activado su propio PIN de verificación en dos pasos, tendrás que esperar siete días para poder saltarlo. Es un proceso que WhatsApp tiene específicamente para estos casos y no hay forma de acelerarlo.
Una vez dentro, cambia el PIN de verificación en dos pasos, cierra todas las sesiones de dispositivos vinculados y revisa los mensajes enviados para ver qué ha hecho el estafador mientras tenía acceso.
Avisa a tus contactos de lo ocurrido cuanto antes. Si el estafador les pidió dinero o información haciéndose pasar por ti, necesitan saberlo para poder actuar. Los que hayan transferido dinero deben contactar con su banco y denunciarlo también.
Si ha habido pérdidas económicas, denuncia ante la Policía Nacional con toda la documentación que puedas reunir: capturas de las conversaciones, datos de lo ocurrido, comprobantes de cualquier transferencia.
Para más información sobre seguridad en aplicaciones móviles puedes consultar los recursos del Instituto Nacional de Ciberseguridad en incibe.es.
Si quieres reforzar la seguridad de otras apps, puedes leer nuestra guía sobre cómo proteger tu cuenta de Instagram de hackeos y nuestro artículo sobre cómo proteger tu cuenta de TikTok.
Hábitos que marcan la diferencia
El código de verificación de WhatsApp nunca se comparte. Con nadie. Sin excepciones. Aunque el mensaje venga de un contacto conocido, porque esa cuenta puede haber sido comprometida.
Revisa los dispositivos vinculados cada pocas semanas y cierra los que no uses o no reconozcas. Si alguna vez usas WhatsApp Web en un ordenador que no es el tuyo, cierra siempre la sesión al terminar.
Mantén el sistema operativo del móvil actualizado. Muchas vulnerabilidades que permiten el hackeo se explotan en versiones desactualizadas que ya tienen solución disponible pero que el usuario no ha instalado.
Preguntas frecuentes
¿Pueden hackear WhatsApp sin tener mi móvil físicamente? Sí. Mediante el robo del código de verificación, el SIM swapping o una sesión de WhatsApp Web que no se cerró pueden acceder a tu cuenta sin necesitar el móvil. Por eso la verificación en dos pasos es tan importante.
¿Cómo sé si alguien está leyendo mis mensajes ahora mismo? Ve a Dispositivos vinculados en el menú de WhatsApp. Si hay algún dispositivo que no reconoces con una sesión activa reciente, alguien tiene acceso a tus conversaciones.
¿La verificación en dos pasos es suficiente? Hace el hackeo enormemente más difícil. Combinada con el PIN de SIM y la revisión periódica de dispositivos vinculados ofrece una protección muy sólida. Ninguna medida es infalible al 100% pero esta combinación cubre la gran mayoría de ataques reales.
¿Qué hago si el estafador pidió dinero a mis contactos? Avísales inmediatamente. Los que hayan transferido dinero deben contactar con su banco cuanto antes y denunciar ante la Policía. Tú también debes denunciar para que quede constancia oficial.
¿WhatsApp puede ayudarme a recuperar la cuenta más rápido? El proceso de recuperación está automatizado y funciona a través del código SMS. Si el estafador activó verificación en dos pasos, los siete días de espera son fijos y no hay forma de saltarlos. Es el precio de un sistema diseñado precisamente para proteger las cuentas.
Este contenido es informativo y no sustituye el asesoramiento profesional en materia legal o de seguridad digital.
✍️ Artículo elaborado por el Equipo NexoDigital
