La seguridad en la mensajería instantánea se ha convertido en una de las principales preocupaciones digitales de 2025. Millones de personas utilizan WhatsApp a diario para comunicarse con familiares, amigos y compañeros de trabajo, lo que ha transformado la aplicación en un objetivo prioritario para el fraude.
La confianza, la inmediatez y el carácter personal de los mensajes han creado el escenario perfecto para que los ciberdelincuentes perfeccionen sus engaños.
En los últimos meses, las estafas han evolucionado más allá del clásico robo de la tarjeta SIM. Hoy, los atacantes ya no necesitan duplicar una línea telefónica para hacerse con una cuenta.
Mediante técnicas de ingeniería social cada vez más refinadas, consiguen vincular WhatsApp a otro dispositivo sin levantar sospechas, accediendo a conversaciones privadas y utilizando la identidad de la víctima como trampolín para nuevos fraudes.
El secuestro silencioso de cuentas sin tocar la SIM
Una de las técnicas más preocupantes es el conocido como “ghost pairing”. En este método, el atacante logra que la propia víctima facilite, sin saberlo, el código de verificación necesario para asociar su cuenta de WhatsApp a un dispositivo adicional.
El proceso suele comenzar con un engaño previo que genera urgencia o confusión, lo que reduce la capacidad de reacción del usuario.
Una vez vinculada la cuenta, el delincuente puede leer mensajes en tiempo real, enviar conversaciones a los contactos de la víctima y mantener el acceso sin que el propietario legítimo detecte inmediatamente la intrusión. Todo ello ocurre sin que la SIM haya sido robada ni la contraseña comprometida, lo que dificulta la identificación del ataque.
El fraude del “hijo en apuros” y la presión emocional
Otra estafa que sigue creciendo se basa en la suplantación de un familiar cercano. Los mensajes suelen llegar desde números desconocidos, con textos breves en los que el supuesto hijo o hija afirma haber cambiado de teléfono y necesitar ayuda urgente.
El canal elegido casi siempre es WhatsApp, porque transmite cercanía y reduce las barreras de desconfianza.
La clave de este fraude está en la presión emocional. El mensaje apela al miedo, al afecto y a la rapidez, factores que llevan a muchas personas a actuar sin comprobar la identidad real del remitente. En numerosos casos, la conversación deriva en una solicitud de dinero o en la petición de datos que permiten escalar el engaño.
Suplantación de organismos y avisos administrativos
Los ciberdelincuentes también explotan la apariencia de legitimidad. Mensajes que simulan proceder de organismos oficiales, como avisos de multas, incidencias administrativas o supuestas notificaciones urgentes, circulan de forma recurrente.
El objetivo inicial suele ser redirigir a la víctima a un enlace fraudulento o trasladar la conversación a WhatsApp para continuar el engaño fuera de canales más controlados.
Este tipo de fraude se apoya en el lenguaje formal y en la urgencia del mensaje. Una vez que la conversación se establece en la aplicación, el atacante tiene más margen para manipular a la víctima y solicitar información sensible.
Marcas conocidas como gancho del engaño
La suplantación de grandes empresas y plataformas digitales es otro patrón habitual. Mensajes que alertan de problemas con pedidos, cargos sospechosos o cuentas bloqueadas utilizan logotipos, nombres y estilos muy similares a los reales.
WhatsApp actúa como canal final del fraude, donde se solicita a la víctima que facilite credenciales o códigos de verificación.
El objetivo no siempre es el dinero inmediato. En muchos casos, lo que se busca es el control de la cuenta para utilizarla posteriormente como herramienta de propagación del fraude entre los contactos de la víctima, aumentando la credibilidad del engaño.
Plataformas legítimas como puerta de entrada
Las campañas más sofisticadas combinan varios canales. En este contexto, solo una vez se ha documentado cómo una campaña de phishing utilizaba servicios legítimos como gancho inicial antes de redirigir a las víctimas a WhatsApp, donde se desarrollaba el fraude completo.
Este tipo de ataques demuestra hasta qué punto los delincuentes aprovechan la confianza previa del usuario para reducir sus defensas.
La mensajería como escenario perfecto para la ingeniería social
“WhatsApp se ha convertido en el escenario perfecto para la ingeniería social: es inmediato, personal y genera una falsa sensación de seguridad”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Los ciberdelincuentes juegan con la urgencia y la confianza para que las víctimas no verifiquen la información”.
El experto subraya que muchas estafas distintas comparten un mismo patrón. “Este año hemos visto cómo ataques muy variados buscan siempre el mismo objetivo: llevar la conversación a WhatsApp para sacar al usuario de entornos más controlados y aumentar las probabilidades de éxito”, añade Nieva.
