Estafa de WhatsApp: Cuando tu propia pantalla se convierte en el enemigo

FAQ (Preguntas Frecuentes)

¿Pueden hackearme WhatsApp solo con contestar una videollamada? No. Contestar la llamada no da acceso a tu cuenta. El riesgo real comienza si aceptas compartir tu pantalla o si entregas códigos de verificación verbalmente. La interacción del usuario es necesaria para que la estafa funcione.

¿Cómo funciona exactamente la estafa de compartir pantalla? El estafador te convence de activar la función “compartir pantalla” durante una videollamada. Luego, solicita un código de recuperación a tu número. Al llegar el SMS, la notificación aparece en tu pantalla y el estafador la lee remotamente para robar tu cuenta.

¿Qué son las Passkeys y cómo protegen mi cuenta? Las Passkeys sustituyen los códigos SMS por autenticación biométrica (huella o rostro). Son mucho más seguras porque no se pueden “leer” en pantalla ni interceptar, ya que la clave criptográfica está almacenada físicamente en tu dispositivo.

¿Qué hago si ya perdí el acceso a mi cuenta? Debes intentar registrarte nuevamente con tu número de teléfono inmediatamente. Si el atacante activó la verificación en dos pasos, tendrás que esperar 7 días para restablecerla, pero al menos cerrarás su sesión activa en el dispositivo intruso.

Algo no cuadra cuando recibes esa llamada. El número parece legítimo, el logo es correcto y la urgencia en la voz del operador te hace dudar. Pero el detalle que pasa desapercibido es el más peligroso: no te están pidiendo una contraseña, te están pidiendo que presiones un botón que, en teoría, debería ayudarte.

La estafa de WhatsApp ha mutado. Ya no estamos hablando del típico mensaje mal escrito de un “familiar” pidiendo dinero desde un número desconocido. Los atacantes han refinado su estrategia aprovechando una función nativa de la aplicación que Meta introdujo como una mejora de productividad y que ahora es la puerta trasera perfecta para el robo de identidad digital.

Si creías que tener la verificación en dos pasos activada era suficiente, la realidad técnica actual demuestra lo contrario. El juego ha cambiado y la estafa de WhatsApp moderna no busca romper el cifrado de la aplicación, sino explotar la confianza del usuario en la interfaz gráfica.

El peligro oculto en la función “Compartir Pantalla”

Google Trends no miente: las búsquedas sobre robos de cuenta se han disparado en las últimas semanas en Latinoamérica y España. ¿La razón? La popularización del fraude mediante videollamada.

Hasta hace poco, el atacante necesitaba que tú, verbalmente, le dictaras el código de seis dígitos que llegaba por SMS. Muchos usuarios aprendieron a no dar ese dato. Sin embargo, la nueva variante es más sofisticada. Los delincuentes se hacen pasar por soporte técnico de la propia plataforma o de entidades bancarias. Te informan de un supuesto intento de hackeo o una transacción bloqueada.

Para “solucionarlo”, te invitan a una videollamada y te guían para pulsar el botón de compartir pantalla. Aquí está el truco de ingeniería social: una vez que ven tu pantalla en tiempo real, ellos mismos solicitan el código de verificación a tu número. La notificación pop-up aparece en tu dispositivo, ellos la leen desde su lado y toman el control de la cuenta en segundos. Tú nunca dijiste una palabra.

Es un movimiento limpio, técnico y devastador. Al usar una herramienta legítima de la app, el filtro de seguridad mental del usuario baja la guardia.

Ingeniería social a nivel usuario

Lo preocupante de esta mecánica es la velocidad. Al tener acceso visual a tu interfaz, el atacante no solo busca el código de WhatsApp. Si tienes la vista previa de notificaciones activada, puedes leer códigos de autenticación bancaria (OTP) o correos de recuperación de Gmail sin que tengas que abrir esas aplicaciones.

Expertos en seguridad llevan meses advirtiendo sobre el riesgo de las funciones de “espejo” en móviles personales. Lo que era una herramienta pensada para reuniones de trabajo o asistencia técnica familiar, se ha convertido en el vector de ataque más eficiente de 2024 y probablemente de 2025.

No se trata de un malware complejo instalado en el núcleo de Android o iOS. Es pura manipulación de la interfaz de usuario. El atacante apuesta a que la víctima no entienda las implicaciones técnicas de transmitir los píxeles de su pantalla a un tercero desconocido.

Por qué los SMS ya no son seguros (y qué usar en su lugar)

Durante años, la industria tecnológica nos vendió el SMS como el estándar de seguridad. Hoy sabemos que es el eslabón más débil. Las tarjetas SIM pueden clonarse (SIM Swapping) y, como vemos en esta estafa de WhatsApp, los mensajes pueden leerse remotamente si compartes la pantalla.

La respuesta de la industria ha sido lenta, pero existe. Meta ha comenzado a implementar las Passkeys (llaves de acceso) de forma gradual. Esta tecnología elimina la necesidad del código SMS, vinculando el acceso a la biometría del dispositivo (tu huella o tu cara).

El problema es la adopción. La mayoría de los usuarios sigue dependiendo del SMS heredado. Mientras esa opción siga activa por defecto, la ventana de oportunidad para los ciberdelincuentes permanece abierta de par en par.

Señales rojas en la notificación

Hay patrones técnicos que delatan el intento de robo antes de que ocurra lo peor. Si prestas atención a los metadatos de la comunicación, verás las grietas en su historia:

• El origen de la llamada: El soporte oficial de WhatsApp nunca contacta por videollamada directa dentro de la app para resolver problemas de seguridad. Utilizan canales verificados con check verde que no permiten interacción de voz.
• La urgencia artificial: Si te dan menos de dos minutos para actuar “o perderás tu cuenta”, es una trampa psicológica. Los protocolos de seguridad reales tienen tiempos de expiración, pero no amenazas inmediatas de borrado.
• Solicitud de video: Ningún banco ni servicio técnico necesita ver tu pantalla para cancelar una operación fraudulenta. Esa solicitud es, en el 100% de los casos, un intento de exfiltración de datos visuales.

El rol de la operadora y la responsabilidad del usuario

• Alerta de ciberseguridad: Cómo identificar mensajes SMS maliciosos para evitar estafas
• WhatsApp: Mira por qué en Estados Unidos poca gente usa la aplicación
• Alerta WhatsApp: No caigas en la trampa del nuevo SMS fraudulento
• Las aplicaciones de terceros ya no tendrán acceso a datos de Gmail
• Los bancos advierten que el fraude por SMS es una nueva técnica de ‘phishing’

Aquí entramos en un terreno gris. ¿De quién es la culpa cuando la herramienta funciona exactamente como fue diseñada? WhatsApp permite compartir pantalla; el usuario aceptó compartirla. Desde el punto de vista del algoritmo de seguridad, no hubo una intrusión forzada.

Esto complica la recuperación de la cuenta. Cuando reportas el robo, el sistema automatizado de Meta ve que el acceso se realizó con un código válido. Esto puede retrasar la recuperación desde 7 horas hasta varios días, tiempo suficiente para que el estafador contacte a toda tu agenda pidiendo transferencias inmediatas.

La defensa más robusta ahora mismo es la configuración proactiva. Ir a los ajustes de privacidad, activar la verificación en dos pasos (preferiblemente con un PIN estático que solo tú sepas, no solo el SMS) y configurar un correo electrónico de recuperación. Es una capa extra de fricción que, aunque molesta, suele disuadir a los atacantes que buscan presas fáciles y rápidas.

Lo curioso de todo este escenario es cómo la tecnología de consumo avanza más rápido que la educación digital del usuario promedio. Las herramientas son cada vez más potentes, pero esa potencia es bidireccional: sirve tanto para trabajar mejor como para estafar mejor.

Ahora queda ver si Meta decide restringir la visibilidad de las notificaciones del sistema cuando la pantalla está siendo compartida, un parche de software que Android ya implementa en ciertas apps bancarias, pero que en mensajería sigue siendo una asignatura pendiente. Y ahí es donde habrá que poner atención en las próximas actualizaciones.

Saber más sobre: Ciberseguridad 2026