Timo del código de WhatsApp: cómo funciona y cómo protegerte

Inicio » Actualidad » Timo del código de WhatsApp: cómo funciona y cómo protegerte

WhatsApp se ha convertido en el canal de comunicación estrella para millones de personas en España, tanto en el ámbito personal como profesional. Precisamente por esa enorme popularidad, los estafadores han encontrado en esta aplicación un terreno perfecto para engañar a usuarios de todas las edades con timos cada vez más elaborados.

En los últimos años ha cobrado especial protagonismo el conocido como “timo del código de WhatsApp” o “estafa de los seis dígitos”. Detrás de un mensaje que parece inofensivo, o incluso de alguien que aparenta ser tu madre, tu pareja o un amigo de toda la vida, se esconde una estrategia de ingeniería social muy pulida para robar cuentas, suplantar identidades y pedir dinero a tus contactos.

Qué es el timo del código de WhatsApp y por qué es tan peligroso

El llamado timo del código de WhatsApp es un engaño en el que los ciberdelincuentes intentan conseguir el código de verificación de seis cifras que la propia aplicación envía por SMS cuando alguien quiere registrar una cuenta en un dispositivo nuevo. Ese código es la llave maestra que les permite apropiarse de tu cuenta en cuestión de segundos.

La estafa suele empezar con un mensaje por WhatsApp que llega desde un contacto que tú ya tienes guardado o desde un número desconocido que se hace pasar por soporte técnico, por una empresa conocida o incluso por un familiar. El texto puede variar, pero el objetivo siempre es el mismo: lograr que compartas el código de seis dígitos que acabas de recibir por SMS.

En muchos casos, el delincuente se presenta como alguien cercano que te dice que ha cambiado de móvil y que está intentando configurar WhatsApp en su nuevo teléfono, pero que por algún motivo el código le está llegando a otra persona. A partir de ahí, te pide que le digas tu número de teléfono para “colocarlo” en el proceso y que, cuando te llegue el mensaje con el código, se lo reenvíes.

Otros delincuentes prefieren hacerse pasar por el supuesto equipo de soporte de WhatsApp. En estos casos, el mensaje que recibes te alerta de que tu cuenta ha sido comprometida o está en riesgo de ser eliminada, y te presionan para que compartas de inmediato el código de verificación alegando que es la única manera de protegerla.

Cómo se desarrolla la conversación del fraude paso a paso

Uno de los patrones más repetidos arranca con un mensaje del tipo: “Cambié de móvil y estoy intentando pasar mi WhatsApp al nuevo dispositivo, pero no me llega el código”. El supuesto conocido se muestra preocupado y transmite prisa, lo que hace que bajes la guardia y no te pares a comprobar demasiado.

Acto seguido, el estafador lanza la petición clave: “¿Puedo poner tu número para que te llegue mi código y me lo envías luego?”. Dicha frase, que parece una simple petición de ayuda entre amigos, es en realidad el núcleo de la estafa. En cuanto aceptas y le das tu número, el delincuente lo introduce en WhatsApp como si fuera suyo, iniciando el registro de la cuenta en otro dispositivo.

WhatsApp, de forma totalmente legítima, envía un SMS al titular real de la línea con un texto tipo: “Tu cuenta está siendo registrada en un nuevo dispositivo. No compartas este código con nadie. Tu código es XXX-XXX”. Ese mensaje es el que tú recibes y que el estafador necesita que le reenvíes para culminar el ataque.

Si, confiando en quien crees que tienes al otro lado, copias el código de seis cifras y se lo mandas, en cuestión de segundos pierdes el control de tu cuenta de WhatsApp. La aplicación se desconecta en tu móvil y aparece el aviso de que tu número ya está siendo utilizado en otro dispositivo.

En ese momento, el delincuente ya tiene el mando total: puede leer tus chats, acceder a tus copias de seguridad, ver tu lista de contactos, cambiar tu foto de perfil e incluso activar nuevas medidas de seguridad para complicar que recuperes la cuenta.

Qué hacen los ciberdelincuentes cuando roban tu cuenta

Una vez que la víctima ha cedido el código y el atacante ha logrado el “secuestro de la cuenta de WhatsApp”, empieza la segunda fase del fraude. Los estafadores no solo quieren tus conversaciones: lo que realmente les interesa es utilizar tu identidad para engañar a otras personas de tu entorno.

Lo más habitual es que, haciéndose pasar por ti, comiencen a escribir a tus contactos pidiéndoles dinero. Suelen recurrir a métodos de pago rápido como Bizum, transferencias inmediatas u otras plataformas similares, aprovechando la confianza que tus amigos y familiares tienen en ti.

El mensaje que envían a tus contactos puede sonar muy cercano y convincente, ya que tienen acceso a tu historial de conversaciones y a la información personal que has ido compartiendo a lo largo del tiempo. Pueden mencionar temas que solo tú y esa persona conocéis, lo que hace que la víctima secundaria baje todavía más la guardia.

Además del timo económico, el atacante puede utilizar tu cuenta para difundir enlaces maliciosos, intentar robar más datos privados o seguir replicando el engaño con otros usuarios, multiplicando el impacto de la campaña de fraude. La suplantación de identidad también puede ir acompañada de chantajes o intentos de extorsión si encuentran información sensible en tus chats.

En los casos más graves, los delincuentes llegan a bloquear o borrar conversaciones y grupos, cambiar el número asociado, modificar la configuración de privacidad e incluso tratar de registrar tu cuenta en otros servicios vinculados con tu número de teléfono.

El papel de la ingeniería social en la estafa de los seis dígitos

El Instituto Nacional de Ciberseguridad (Incibe) y los cuerpos de Seguridad del Estado llevan tiempo advirtiendo de que este tipo de engaños se basan casi por completo en técnicas de ingeniería social. No necesitan grandes conocimientos técnicos, sino aprovecharse de la confianza y de las emociones de la víctima.

Los delincuentes estudian cómo pensamos y cómo reaccionamos ante mensajes de urgencia, miedo o aparente cercanía. Saben que si quien nos pide ayuda es la pareja, un amigo o un familiar, es mucho más probable que hagamos lo que nos pide sin cuestionarlo demasiado; por eso conviene identificar amistades tóxicas, sobre todo si hay una historia creíble detrás (pérdida del móvil, problema con una red social, recuperar una cuenta, etc.).

También juegan con la sensación de inmediatez. Suelen insistir en que todo es muy urgente: que necesitan el código ya mismo, que se les va a bloquear la cuenta, que se perderán datos importantes o que hay un negocio importante pendiente. Esa presión busca que actúes rápido y no te tomes unos segundos para parar y pensar.

Otra clave importante de la ingeniería social en este fraude es que en muchos casos no se dirigen a ti desde un número desconocido, sino desde la cuenta de alguien de confianza que ya ha sido víctima anteriormente. Es decir, el ciclo se va repitiendo: primero engañan a un usuario, toman el control de su cuenta y después, desde esa misma cuenta, siguen extendiendo la estafa a otros contactos.

La Policía Nacional ha llegado a difundir avisos en redes sociales como TikTok, donde explica de forma muy directa que, si alguien, por muy cercano que sea, te pide que le reenvíes un código de SMS, lo que está ocurriendo es que te están robando la cuenta de WhatsApp. Si recibes un mensaje así, la recomendación es desconfiar y parar el proceso inmediatamente.

Otras estafas frecuentes que circulan por WhatsApp

Aunque la estafa de los seis dígitos es una de las más conocidas, no es la única que circula por esta aplicación. Los ciberdelincuentes usan WhatsApp como vía principal para lanzar engaños de todo tipo, tanto a particulares como a empresas, siempre con el mismo objetivo: robar datos o dinero.

Una de las más habituales es la estafa del “hola, cómo estás”. Se trata de mensajes que llegan desde un número que no tienes guardado en la agenda y que suelen ir acompañados de alguna oferta, sorteo o promoción demasiado buena para ser verdad. Junto al texto, casi siempre se adjunta un enlace a una página web fraudulenta.

Esa página está diseñada para que el usuario deje sus datos personales o bancarios, con el pretexto de inscribirse en un sorteo, canjear un cupón o aprovechar una promoción exclusiva. Los datos recopilados se utilizan después en otras estafas, dotándolas de mayor verosimilitud, ya que los delincuentes disponen de información real de la víctima.

Otra variante muy peligrosa para el entorno corporativo es el llamado “fraude del CEO” por WhatsApp. En este caso, el ataque va dirigido a empleados de departamentos financieros o con capacidad para realizar pagos. El estafador se hace pasar por un alto cargo de la empresa y solicita una transferencia urgente y confidencial para cerrar un supuesto negocio crítico.

En estos mensajes se insiste mucho en la urgencia y en la confidencialidad. Se suele presionar al empleado con frases halagadoras (“confiamos en ti para esto”, “esto puede asegurar el futuro de la empresa”) para evitar que verifique la petición por otros canales, como el correo corporativo o una llamada telefónica al directivo real.

También es muy común la denominada estafa del familiar en el extranjero. En este timo, el contacto que escribe se presenta como un supuesto pariente, pero sin decir nunca su nombre ni el vínculo concreto; a menudo deja caer frases como “¿no sabes quién soy?” para que seas tú quien acabe proporcionando esa información sin darte cuenta.

Una vez que el ciberdelincuente ha conseguido que creas que hablas con un familiar real, te cuenta alguna historia de urgencia económica: un problema en otro país, un imprevisto médico, un robo, etc., y a partir de ahí pide dinero o datos sensibles. En realidad, se trata de un doble delito: robo de datos y suplantación de identidad.

Cómo detectar si te están intentando estafar por WhatsApp

Existen una serie de señales que pueden ayudarte a sospechar de que estás ante una de estas estafas. La primera es que el mensaje proceda de un número desconocido que no figura en tu agenda, especialmente si de entrada ya te pide datos personales, dinero o que pulses un enlace.

También conviene desconfiar cuando el mensaje no da datos concretos. En la estafa del familiar, por ejemplo, la persona nunca se identifica claramente y espera que seas tú quien adivine quién es. Esa vaguedad es deliberada, para que aportes tú mismo la información y el estafador pueda construir una historia creíble sobre la marcha.

Otro indicio clásico son las faltas de ortografía o expresiones extrañas. Es cierto que en WhatsApp no solemos escribir de forma perfecta, pero cuando se juntan errores lingüísticos llamativos con peticiones de códigos, dinero o información personal, la probabilidad de que se trate de un engaño se dispara.

A nivel de contenido, debes sospechar de cualquier mensaje que te inste a compartir un código de verificación recibido por SMS, ya sea de WhatsApp o de cualquier otro servicio, y más todavía si incluye un aviso de supuestos robos de cuenta, cierres inminentes o bloqueos de seguridad.

En el ámbito financiero, desconfía por completo si alguien que dice ser tu banco, una entidad de crédito o un servicio de pago te contacta por WhatsApp para pedirte claves, números de tarjeta o credenciales. Las entidades serias no utilizan esta aplicación para gestionar datos tan sensibles, y menos aún solicitando códigos de un solo uso.

Medidas clave para evitar caer en la estafa del código y otros timos

La primera regla de oro para protegerte es muy simple: jamás compartas con nadie los códigos de verificación que recibas por SMS, ni de WhatsApp ni de otros servicios. Esos códigos están pensados para que solo tú los conozcas y los introduzcas en la aplicación correspondiente.

Si alguien, incluso un supuesto amigo, familiar o pareja, te pide que le reenvíes un código que te ha llegado, lo prudente es parar, desconfiar y verificar por otro canal. Puedes llamarle directamente por teléfono, hacer una videollamada o preguntarle por algún detalle que solo esa persona real sabría. Si no responde con claridad, es casi seguro que no es quien dice ser.

Otra medida imprescindible es activar la verificación en dos pasos de WhatsApp. Esta función añade una capa extra de seguridad a tu cuenta, ya que, además del código por SMS, requiere un PIN de seis cifras que tú mismo defines y que el atacante no conoce.

Para activar esta opción, basta con entrar en WhatsApp, ir a Ajustes, después a Cuenta, seleccionar “Verificación en dos pasos” y pulsar en “Activar”. El sistema te pedirá que elijas un PIN de seis dígitos y, opcionalmente, que añadas un correo electrónico de recuperación por si olvidas ese PIN en el futuro.

También es muy recomendable que, ante cualquier mensaje que te genere duda, no respondas y bloquees el número. Si el remitente insiste en pedir dinero, información o códigos, bloquearlo puede ahorrarte muchos disgustos. Además, cuanto menos interactúes, menos información le das al atacante sobre tu perfil.

Qué hacer si ya te han estafado o sospechas que han tomado tu cuenta

Si sospechas que tu cuenta de WhatsApp ha sido robada o estás viendo indicios claros (por ejemplo, que la aplicación te cierra sesión y te avisa de que tu número se está utilizando en otro dispositivo), el primer paso es intentar recuperar el acceso cuanto antes.

Puedes tratar de registrar otra vez tu número en tu propio teléfono, para que WhatsApp vuelva a enviarte un código por SMS y desplace al atacante. Si el ciberdelincuente no ha activado medidas adicionales, podrás retomar el control. Aun así, es conveniente revisar la configuración, la verificación en dos pasos y cerrar posibles sesiones abiertas en otros dispositivos.

El Incibe aconseja que, si no logras recuperarla o el proceso se complica, te pongas en contacto con el soporte oficial de WhatsApp. El procedimiento puede llevar varios días, pero es la vía adecuada cuando el secuestro de la cuenta es total y no hay manera de recibir el SMS o acceder a la app.

En paralelo, es recomendable avisar cuanto antes a tus contactos de que tu cuenta ha podido ser comprometida, para que estén alerta y no respondan a mensajes sospechosos que puedan llegar desde tu número. Este simple aviso puede evitar que el engaño se siga propagando y que otras personas pierdan dinero.

Si durante la estafa has compartido datos financieros (número de tarjeta, cuentas bancarias, etc.), ponte en contacto de inmediato con tu entidad bancaria para bloquear tarjetas, cancelar operaciones sospechosas y reforzar la seguridad. Cuanto antes actúes, más margen hay para frenar posibles cargos fraudulentos.

Por último, es importante denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado. Puedes acudir a una comisaría de Policía, a un cuartel de la Guardia Civil o llamar al número 017, la línea de ayuda en ciberseguridad del Incibe, donde te orientarán sobre los pasos legales y técnicos a seguir.

Las autoridades insisten en que reportar estos casos no solo sirve para intentar localizar a los responsables, sino también para detectar patrones de ataque y campañas masivas, lo que ayuda a lanzar nuevas advertencias públicas y a que otros usuarios no caigan en el mismo engaño.

La combinación de ingeniería social, confianza mal utilizada y códigos de verificación hace que el timo del código de WhatsApp sea especialmente dañino, pero con una dosis de desconfianza sana, la verificación en dos pasos activada y el hábito de no compartir jamás códigos ni datos sensibles por chat, las posibilidades de convertirse en víctima se reducen drásticamente, y tus contactos también estarán mucho más a salvo de este tipo de fraudes.