WhatsApp es la app de mensajería más usada del mundo y, por esa misma razón, uno de los objetivos favoritos de hackers, estafadores y cibercriminales. Cada día miles de cuentas de WhatsApp son secuestradas mediante técnicas de ingeniería social, SIM swapping y phishing. Las consecuencias van desde la pérdida de acceso a tu cuenta hasta estafas a tus contactos que creen estar hablando contigo.
En esta guía te enseñamos paso a paso cómo blindar tu cuenta de WhatsApp contra todas las amenazas conocidas, qué hacer si tu cuenta ya fue comprometida y cómo reconocer los intentos de ataque antes de que sea demasiado tarde.
Cómo Hackean una Cuenta de WhatsApp
Entender los métodos de ataque es fundamental para protegerte. Los hackers no suelen explotar vulnerabilidades técnicas sofisticadas de WhatsApp. En cambio, se aprovechan de errores humanos y debilidades en la cadena de autenticación.
Robo del código de verificación por SMS: Este es el ataque más común. El atacante inicia el proceso de registro de WhatsApp con tu número de teléfono. WhatsApp envía un código de 6 dígitos a tu número por SMS. El atacante te contacta (haciéndose pasar por soporte de WhatsApp, un amigo o una empresa) y te convence de compartir ese código. Con el código, registra tu WhatsApp en su teléfono y tú pierdes acceso.
SIM swapping: El atacante contacta a tu operador de telefonía haciéndose pasar por ti y solicita una nueva SIM con tu número. Una vez obtiene la SIM, recibe todos tus SMS incluyendo códigos de verificación de WhatsApp, cuentas bancarias y correos electrónicos.
WhatsApp Web no autorizado: Si alguien tuvo acceso físico a tu teléfono durante unos segundos, pudo haber escaneado el código QR de WhatsApp Web y ahora tiene acceso completo a tus conversaciones desde un navegador sin que lo sepas.
Apps espía: Si alguien instaló una app de monitoreo o stalkerware en tu teléfono (un familiar controlador, una pareja celosa, un empleador), esa app puede capturar todo lo que aparece en tu pantalla, incluyendo tus conversaciones de WhatsApp.
Activar la Verificación en Dos Pasos
Esta es la medida de seguridad más importante que puedes activar y que sorprendentemente muchos usuarios aún no tienen habilitada. La verificación en dos pasos añade un PIN de 6 dígitos que se requiere adicionalmente al código SMS cada vez que alguien intenta registrar tu número en WhatsApp.
Para activarla, abre WhatsApp, ve a Ajustes > Cuenta > Verificación en dos pasos y toca "Activar". Elige un PIN de 6 dígitos que puedas recordar pero que no sea obvio (no uses tu fecha de nacimiento ni 123456). WhatsApp te pedirá también un correo electrónico de respaldo para recuperar el PIN en caso de que lo olvides.
Con la verificación en dos pasos activada, incluso si un atacante obtiene tu código SMS de verificación, no podrá completar el registro sin conocer tu PIN. Esto hace virtualmente imposible el secuestro de cuenta por el método más común.
WhatsApp te pedirá tu PIN periódicamente de forma aleatoria para asegurarse de que no lo olvides. Si recibes una solicitud de PIN que no esperabas, no te preocupes — es una medida de seguridad legítima de WhatsApp.
Configurar la Privacidad de tu Cuenta
WhatsApp tiene múltiples opciones de privacidad que deberías configurar para limitar qué información es visible para desconocidos. Ve a Ajustes > Privacidad y configura lo siguiente.
Última vez y en línea: Configúralo como "Mis contactos" o "Nadie". Esto evita que desconocidos sepan cuándo estás activo en WhatsApp, información que los estafadores usan para determinar el mejor momento para contactarte.
Foto de perfil: Configúrala como "Mis contactos". Los estafadores descargan fotos de perfil de WhatsApp para crear cuentas falsas suplantando tu identidad y estafar a tus contactos.
Info (estado): Configúralo como "Mis contactos" para que solo las personas que tienes agendadas puedan ver tu información personal.
Grupos: Configúralo como "Mis contactos" para evitar que desconocidos te agreguen a grupos de spam, phishing o contenido no deseado sin tu consentimiento.
Bloqueo de pantalla: Activa el bloqueo con huella dactilar o reconocimiento facial en Privacidad > Bloqueo con huella dactilar. Esto impide que alguien acceda a tus chats si tiene tu teléfono desbloqueado.
Revisar Sesiones de WhatsApp Web Activas
WhatsApp Web es una de las vías más comunes de espionaje. Si alguien tuvo acceso a tu teléfono por unos segundos, pudo haber vinculado un navegador a tu cuenta sin que lo notaras.
Para verificar, abre WhatsApp, toca el menú de tres puntos y selecciona Dispositivos vinculados. Aquí verás todos los navegadores y aplicaciones de escritorio que tienen acceso a tu cuenta. Si ves algún dispositivo que no reconoces o que no estás usando actualmente, toca sobre él y selecciona "Cerrar sesión".
Como medida preventiva, revisa esta sección al menos una vez por semana. Si sospechas que alguien pudo haber tenido acceso a tu teléfono, cierra todas las sesiones activas inmediatamente tocando "Cerrar todas las sesiones".
Protegerte Contra el SIM Swapping
El SIM swapping es un ataque particularmente peligroso porque no solo compromete WhatsApp sino todas las cuentas que usan tu número de teléfono para verificación. Los atacantes contactan a tu operador haciéndose pasar por ti para solicitar una SIM de reemplazo.
Para protegerte, contacta a tu operador de telefonía y solicita que establezcan un PIN o contraseña adicional que se requiera para realizar cambios en tu cuenta, incluyendo solicitudes de SIM de reemplazo. En la mayoría de operadores latinoamericanos puedes solicitar este bloqueo adicional en una tienda física presentando tu documento de identidad.
Además, reduce tu dependencia del SMS como método de verificación. Donde sea posible, usa apps de autenticación como Google Authenticator o Authy en lugar de SMS para la verificación en dos pasos de tus cuentas de email, redes sociales y banca en línea.
Reconocer Intentos de Estafa por WhatsApp
Los estafadores usan WhatsApp para ejecutar múltiples tipos de fraude. Reconocer los patrones te protege a ti y a tus contactos.
Estafa del código de verificación: Recibes un mensaje (a veces de un contacto real cuya cuenta fue hackeada) diciendo algo como "Hola, por error envié un código de 6 dígitos a tu número, ¿me lo puedes reenviar?" Ese código es el de verificación de tu propia cuenta de WhatsApp. Nunca compartas códigos de verificación con nadie, sin importar quién lo pida.
Suplantación de identidad: Recibes un mensaje de un número desconocido con la foto de perfil de un familiar o amigo diciendo que cambió de número y necesita dinero urgente. Antes de enviar dinero, llama al número original de esa persona para verificar.
Ofertas de trabajo falsas: Mensajes ofreciendo trabajos con pagos irrealmente altos por tareas simples como dar likes o ver videos. El objetivo es obtener tus datos personales o que realices pagos por "materiales de capacitación" que nunca recibirás.
Phishing por enlaces: Mensajes con enlaces que aparentan ser de empresas conocidas (bancos, Netflix, Amazon) pidiendo que actualices tus datos o confirmes un pago. Estos enlaces llevan a sitios falsos diseñados para robar tus credenciales.
Qué Hacer si tu WhatsApp Fue Hackeado
Si sospechas que tu cuenta fue comprometida, actúa inmediatamente siguiendo estos pasos.
Paso 1: Abre WhatsApp e intenta registrar tu número nuevamente. WhatsApp enviará un código de verificación por SMS a tu número. Ingresa el código para recuperar tu cuenta en tu teléfono. Esto cerrará automáticamente la sesión del atacante.
Paso 2: Si tenías verificación en dos pasos activada y el atacante también la activó con un PIN diferente, tendrás que esperar 7 días para poder registrarte sin el PIN. Durante esos 7 días, el atacante tampoco podrá usar tu cuenta si tú ya ingresaste el código SMS.
Paso 3: Una vez recuperes el acceso, ve a Dispositivos vinculados y cierra todas las sesiones. Activa o cambia tu PIN de verificación en dos pasos. Notifica a tus contactos que tu cuenta fue comprometida para que ignoren mensajes sospechosos que pudieron haber recibido.
Paso 4: Si no puedes recuperar tu cuenta por ningún medio, envía un correo a support@whatsapp.com con el asunto "Cuenta robada/hackeada" e incluye tu número de teléfono en formato internacional. WhatsApp puede desactivar tu cuenta para impedir que el atacante la siga usando.
Seguridad de los Respaldos de WhatsApp
Los respaldos de WhatsApp en Google Drive históricamente no estaban cifrados de extremo a extremo, lo que significaba que Google y cualquier persona con acceso a tu cuenta de Google podía potencialmente leer tus conversaciones respaldadas. WhatsApp ahora ofrece cifrado de extremo a extremo para respaldos en la nube.
Para activar el cifrado de respaldos, ve a Ajustes > Chats > Copia de seguridad > Copia de seguridad cifrada de extremo a extremo y actívala. Deberás crear una contraseña o clave de cifrado de 64 dígitos. Sin esta contraseña o clave, nadie (ni siquiera WhatsApp o Google) podrá acceder a tu respaldo.
Es crucial que guardes esta contraseña en un lugar seguro. Si la pierdes y necesitas restaurar un respaldo, no podrás hacerlo. Considera usar un gestor de contraseñas para almacenarla.
Apps Complementarias de Seguridad para WhatsApp
Más allá de las configuraciones nativas de WhatsApp, hay algunas prácticas adicionales que refuerzan la seguridad de tu cuenta.
Gestor de contraseñas: Usa una app como Bitwarden (gratuita y de código abierto) o 1Password para generar y almacenar contraseñas únicas y fuertes para todas tus cuentas. Si tu correo electrónico de respaldo de WhatsApp tiene una contraseña débil, toda tu configuración de seguridad de WhatsApp queda comprometida.
App de autenticación: Instala Google Authenticator o Authy para las cuentas que lo soporten. Estas apps generan códigos temporales que no pueden ser interceptados por SIM swapping a diferencia de los SMS.
Alertas de seguridad de Google: Configura las alertas de seguridad de tu cuenta de Google para recibir notificaciones instantáneas si alguien intenta acceder a tu cuenta desde un dispositivo nuevo. Tu cuenta de Google es la que protege los respaldos de WhatsApp en la nube.
Preguntas Frecuentes
¿WhatsApp puede ser espiado sin acceso a mi teléfono?
Sin acceso físico o remoto a tu dispositivo, espiar WhatsApp es extremadamente difícil gracias al cifrado de extremo a extremo. Las vulnerabilidades tipo Pegasus (spyware de nivel gubernamental) existen pero son costosas y dirigidas a objetivos de alto perfil, no a usuarios comunes. El riesgo real para la mayoría de usuarios es la ingeniería social y el acceso físico al dispositivo.
¿Las apps que prometen "hackear WhatsApp" funcionan?
No. Las apps y sitios web que prometen hackear WhatsApp de otra persona con solo ingresar su número son estafas diseñadas para robar tus datos, instalar malware en tu dispositivo o cobrarte por un servicio que no funciona. No existe ninguna app legítima que pueda hackear WhatsApp remotamente.
¿Debo preocuparme por las capturas de pantalla de mis chats?
WhatsApp no notifica cuando alguien toma una captura de pantalla de un chat (a diferencia de Snapchat). Cualquier persona con quien chatees puede capturar y compartir tus mensajes. Ten esto en cuenta al compartir información sensible y usa los mensajes temporales para conversaciones que no quieres que persistan.
¿Es seguro usar WhatsApp para enviar fotos de documentos?
El envío está protegido por cifrado de extremo a extremo, así que el tránsito es seguro. Sin embargo, una vez que la foto llega al destinatario, queda almacenada en su teléfono y posiblemente respaldada en su nube. Si necesitas enviar documentos sensibles como identificaciones o datos bancarios, usa la función de "Ver una vez" que auto-destruye el contenido después de ser visto.
¿Cambiar de número protege mi cuenta si fue hackeada?
Si cambias de número de teléfono, debes usar la función "Cambiar número" dentro de WhatsApp antes de cambiar la SIM. Si ya perdiste acceso a la cuenta, cambiar el número no recuperará tu cuenta anterior. Necesitarás seguir el proceso de recuperación y luego usar la función de cambio de número desde tu cuenta recuperada.
No olvides estos tips
Proteger tu WhatsApp no requiere conocimientos técnicos avanzados. Las tres acciones más importantes son activar la verificación en dos pasos con un PIN seguro, nunca compartir códigos de verificación con nadie independientemente de quién lo solicite, y revisar periódicamente los dispositivos vinculados para detectar accesos no autorizados.
La mayoría de los hackeos de WhatsApp se basan en engañar al usuario, no en explotar vulnerabilidades técnicas. Si te mantienes informado sobre los métodos de estafa y sigues las configuraciones de seguridad de esta guía, tu cuenta estará significativamente más protegida que la del usuario promedio.