WhatsApp y ciberseguridad: fraudes, riesgos y cómo protegerte

WhatsApp se ha convertido en la herramienta de mensajería por defecto para millones de personas, y eso significa que también es un objetivo prioritario para todo tipo de ciberdelincuentes. Estafas, robos de cuentas, virus camuflados en archivos y ataques dirigidos a organizaciones conviven en el mismo ecosistema donde hablamos con la familia, gestionamos trabajo y hasta compartimos documentos sensibles.

El problema no es solo la aplicación en sí, sino cómo la usamos, cómo la configuramos y los accesos rápidos y trucos y qué información confiamos a sus chats. Desde la descarga automática de archivos hasta el famoso código de verificación, pasando por la vinculación de dispositivos o el uso de móviles antiguos sin soporte, hay muchos puntos débiles que conviene conocer. En esta guía vas a encontrar una visión completa, con ejemplos reales y consejos prácticos, para blindar tu WhatsApp frente a las amenazas más frecuentes.

Riesgos ocultos en la descarga automática de archivos en WhatsApp

Una de las primeras cosas que muchos no tocan nunca en los ajustes de la app es la opción de descarga automática de fotos, vídeos, audios y documentos. Viene activada por defecto y, aunque es cómoda para no tener que andar aceptando cada archivo, también abre una puerta muy interesante para quien quiera colarte malware sin que te enteres.

La Policía Nacional ha avisado en varias ocasiones de que los ciberdelincuentes se aprovechan precisamente de esta función, porque el archivo se guarda en tu móvil nada más recibir el mensaje, aunque tú no lo abras manualmente (ver casos como no me llegan los WhatsApp hasta que lo abro). Es decir, solo por llegar el contenido al chat ya puede estar ocupando espacio en tu almacenamiento… y en el peor de los casos, dando paso a código malicioso preparado para aprovechar una vulnerabilidad del sistema.

El escenario típico es sencillo: un atacante contacta contigo por WhatsApp con alguna excusa creíble, gana tu confianza con un pretexto cualquiera y te envía un archivo aparentemente inocente. Puede ser una foto, un PDF, un documento de trabajo o un audio. Si tienes la descarga automática activa, ese archivo aterriza en tu dispositivo sin que hagas nada, y en ocasiones puede ser necesario eliminar fotos de WhatsApp para todos si respondes de forma impulsiva.

Aunque no todos esos archivos van a ser peligrosos, las autoridades y organismos como el INCIBE recuerdan que es una superficie de ataque innecesaria, sobre todo en móviles que no se actualizan con frecuencia. Cuanto más viejo es el sistema operativo, más posibilidades hay de que exista una vulnerabilidad que un virus pueda aprovechar al ejecutarse o al ser procesado por una app.

Por eso, tanto la Policía Nacional como el INCIBE recomiendan revisar este ajuste y reducir al mínimo lo que se descarga de forma automática. No se trata de vivir con paranoia, sino de que seas tú quien decida qué entra en tu teléfono y cuándo. Si lo consideras útil, también puedes valorar activar opciones de seguridad más restrictivas como el modo bloqueo estricto.

Cómo desactivar la descarga automática y usar WhatsApp de forma más segura

La buena noticia es que limitar este riesgo es tan fácil como cambiar un par de ajustes dentro de la propia aplicación. No necesitas instalar nada raro ni ser un experto en tecnología: basta con dedicarle un minuto y acostumbrarte a descargar solo aquello que realmente te interesa. Consulta también algunos trucos de WhatsApp para exprimir la app que te ayudan a manejar mejor estos ajustes.

Para dejar de bajar archivos de forma automática en WhatsApp, los pasos generales son muy sencillos: entras en “Ajustes > Almacenamiento y datos > Descarga automática” y, a partir de ahí, desmarcas la descarga de fotos, audios, vídeos y documentos tanto con datos móviles como con Wi‑Fi. A partir de ese momento, cada vez que te envíen algo, serás tú quien pulse para bajarlo.

Este pequeño cambio hace que tengas un control mucho más fino sobre lo que se guarda en tu teléfono, además de ayudarte a evitar que se llene la memoria con memes, vídeos y cadenas que ni te interesan. Y de paso reduces bastante la probabilidad de que un archivo malicioso acabe ejecutándose sin que te des cuenta.

El propio INCIBE insiste en que, junto con este ajuste, es recomendable revisar de vez en cuando el almacenamiento que ocupa WhatsApp, borrar documentos antiguos, copias de seguridad innecesarias y chats que ya no necesitas, sobre todo si contienen datos delicados. Gestionar bien estos contenidos es una parte esencial de la higiene digital; por ejemplo, aprender a eliminar un mensaje sin que lo sepan puede ser útil en casos puntuales.

Además, diferentes campañas informativas han recordado otros fraudes habituales asociados a WhatsApp, como la supuesta “estafa de los seis dígitos” o bulos como el de WhatsApp Gold o los vídeos que supuestamente hackean tu teléfono al reproducirlos. Estas historias se reactivan cada cierto tiempo, pero los cuerpos de seguridad insisten: si algo suena demasiado alarmante o espectacular, normalmente es un bulo para asustar o para que lo reenvíes.

WhatsApp, emociones y salud mental: cuando las noticias y preocupaciones saturan

Más allá de los virus y los timos, hay otro aspecto del que se habla menos pero que también importa: el impacto emocional del uso intensivo de WhatsApp, sobre todo cuando se combina con el bombardeo constante de noticias, cadenas alarmistas y mensajes cargados de preocupación.

Investigaciones lideradas por la Universidad de Castilla-La Mancha han analizado cómo la forma en que hablamos de nuestras preocupaciones a través de la mensajería instantánea puede aumentar el malestar, especialmente en personas jóvenes y en mujeres. El estudio diferencia entre preocuparse por un problema concreto buscando soluciones y caer en bucles de pensamientos abstractos, anticipando desastres futuros e hipotéticos.

Cuando ese tipo de pensamientos se comparte continuamente por WhatsApp, el efecto puede ser el contrario al deseado: en lugar de aliviar, amplifica la sensación de angustia. Según la investigación publicada en Personality and Individual Differences, determinados patrones de comunicación digital acaban reforzando el malestar emocional en los más jóvenes.

Los resultados de estos estudios permiten diseñar herramientas educativas y clínicas que identifiquen estos patrones de comunicación y ayuden a corregirlos. Ser consciente de cómo te afecta emocionalmente lo que lees y reenvías en WhatsApp también es una parte de usar la tecnología de forma sana, no solo en términos de seguridad informática sino también de salud mental.

Clonación y secuestro de cuentas: el peligro del código de verificación

Uno de los fraudes más extendidos en los últimos años tiene que ver con la clonación o secuestro de cuentas de WhatsApp usando el código de verificación que la propia plataforma envía por SMS o dentro de la app. No hace falta que el atacante sea un genio de la programación: basta con un poco de ingeniería social y mucha insistencia. Si quieres más información sobre casos de registro en otro dispositivo, consulta qué hacer si tu cuenta está siendo registrada en un dispositivo nuevo.

El mecanismo habitual es que el ciberdelincuente intente registrar tu número en otro dispositivo, de modo que WhatsApp envía automáticamente un código de seis dígitos al teléfono que ya está asociado (el tuyo). Ese código es la llave de acceso para que el atacante termine de configurar la cuenta en su móvil.

Para conseguir esos números, los estafadores se hacen pasar por un contacto conocido, un supuesto servicio técnico o incluso por la propia plataforma, pidiéndote que les reenvíes el código “por error”. En cuanto lo haces, pierdes el control de tu cuenta: la sesión pasa al dispositivo del atacante y tú quedas expulsado.

Una vez dentro, el delincuente puede leer conversaciones antiguas, revisar fotos y documentos compartidos, ver qué contactos son más frecuentes y utilizar toda esa información para lanzar nuevas estafas. Lo típico es empezar a escribir a tus familiares, amigos o compañeros de trabajo pidiendo dinero “urgente” por una supuesta emergencia.

Como el mensaje sale de tu número, con tu foto de perfil y tu nombre, el nivel de confianza de las víctimas secundarias es muy alto. Las peticiones suelen incluir que el dinero se haga llegar a una cuenta bancaria de un tercero o a través de métodos de pago poco reversibles, lo que es una señal clara de fraude, pero cuando hay prisa y alguien cercano dice que está en problemas, muchos no dudan.

Estructura de las redes de estafa y propagación del fraude

Las investigaciones sobre este tipo de delitos muestran que, en muchos casos, no se trata de una sola persona improvisando, sino de grupos organizados donde cada integrante tiene un rol definido. Unos se ocupan del envío masivo de mensajes, otros del acopio de datos personales y otros de coordinar las transferencias fraudulentas y el blanqueo de dinero.

Este modelo de trabajo en cadena les permite actuar de forma rápida y simultánea en varios países, replicando el mismo guion adaptado al idioma y a los hábitos locales. Desde la clonación de cuentas hasta la venta de perfiles robados en mercados ilegales, el negocio se basa en aprovechar la confianza que las víctimas depositan en sus contactos de WhatsApp.

Una vez logran secuestrar una cuenta, pueden explotarla de varias maneras: pedir dinero, difundir enlaces maliciosos, usar los chats para recopilar información laboral o financiera, o simplemente vender el acceso a otros grupos delictivos para campañas de spam y fraudes a mayor escala.

El carácter “real” de la cuenta robada -número legítimo, foto auténtica, conversaciones previas- hace que la gente baje la guardia. Eso convierte a WhatsApp en un canal muy rentable para los delincuentes, porque no están escribiendo desde números desconocidos que inspiran desconfianza, sino desde la agenda de la propia víctima.

Todo esto explica por qué organismos de ciberseguridad insisten tanto en un mensaje que puede parecer obvio pero que sigue siendo ignorado: nunca se debe compartir el código de verificación de WhatsApp, bajo ninguna circunstancia y con nadie, por muy cercano que sea.

Ghostpairing: la estafa que aprovecha la función de dispositivos vinculados

Además del secuestro clásico mediante código de verificación, en los últimos meses ha cobrado relevancia una modalidad conocida como “Ghostpairing”, advertida por operadores como Digi. En este caso, los estafadores explotan una función oficial de WhatsApp: la posibilidad de vincular tu cuenta a WhatsApp Web o a aplicaciones de escritorio.

La idea del engaño es convencerte para que seas tú quien vincule tu cuenta a un navegador o equipo controlado por el atacante. Lo consiguen a través de mensajes que llegan desde cuentas ya comprometidas, por ejemplo: “He visto esta foto tuya, ¿eres tú?”, acompañados de un enlace que parece de una red social o de una página conocida.

Cuando pinchas ese enlace, se abre una web que imita a un servicio legítimo y te pide el número de teléfono y un código de vinculación o emparejamiento. Ese código es el que se utiliza para enlazar tu cuenta a WhatsApp Web. Tú crees que estás verificando algo inocuo, pero en realidad estás autorizando la conexión de tu cuenta a un navegador bajo el control del ciberdelincuente.

Una vez completado el proceso, el atacante obtiene acceso casi total a tus mensajes, fotos, vídeos y documentos, y puede enviar mensajes haciéndose pasar por ti sin que te expulsen de tu propia sesión de móvil. Es decir, puedes seguir usando WhatsApp en tu teléfono sin notar nada raro al principio, mientras otra persona maneja tus chats desde la sombra.

Si sospechas que alguien puede estar usando tu cuenta en otro dispositivo, conviene revisar el apartado de “Dispositivos vinculados” dentro de la configuración de WhatsApp. Allí aparece la lista de equipos con sesión iniciada. Si ves algo que no reconoces, lo recomendable es cerrar sesión en ese dispositivo inmediatamente y, a continuación, cambiar ajustes de seguridad y revisar los mensajes enviados recientemente; por ejemplo, activar el puede ayudar a limitar acciones no autorizadas.

Medidas clave para proteger tu cuenta de WhatsApp

El primer pilar para protegerte de estos fraudes es de sentido común, pero no por eso menos importante: jamás compartas códigos de verificación ni de emparejamiento. Ni WhatsApp, ni Meta, ni un técnico legítimo, ni tu banco, ni un amigo que supuestamente se ha confundido tienen por qué pedirte esos datos.

El segundo gran escudo es activar la verificación en dos pasos dentro de la propia app. Esta función añade un PIN extra que se solicita cuando se intenta registrar tu número en un nuevo dispositivo, de modo que aunque alguien robe el código de SMS, no podrá completar el proceso sin esa clave adicional.

Además, es fundamental mantener el dispositivo protegido: bloqueo por huella, reconocimiento facial o PIN robusto, no dejar el móvil desatendido en lugares públicos y evitar prestarlo a desconocidos. Muchas intrusiones se producen porque alguien tiene acceso físico al teléfono durante unos minutos; si eso ocurre, consulta cómo recuperar y proteger un móvil robado o perdido.

Otra costumbre saludable es desconfiar de cualquier mensaje que mezcle urgencia y presión emocional con peticiones de dinero o datos personales. Si un familiar te pide de repente una transferencia a una cuenta de un tercero, lo sensato es llamarle por otro canal y confirmar que realmente es él quien está detrás de ese mensaje; además, ten en cuenta riesgos relacionados con números especiales en telefonía que pueden esconder costes o fraudes.

Por último, conviene desactivar la vista previa de mensajes en la pantalla bloqueada para que, si alguien tiene el móvil en la mano, no pueda ver información sensible ni interactuar con códigos o enlaces sin tener que desbloquear antes el dispositivo.

Amenazas avanzadas: campañas APT centradas en datos de WhatsApp

Más allá del usuario de a pie, también hay campañas mucho más sofisticadas dirigidas a organismos públicos, entidades gubernamentales y empresas. Un ejemplo reciente es la actividad del grupo APT conocido como Mysterious Elephant, analizada por el equipo GReAT de Kaspersky a comienzos de 2025.

Este actor se centra principalmente en países de la región de Asia-Pacífico -como Pakistán, Bangladesh, Afganistán, Nepal o Sri Lanka- y su objetivo es robar información altamente sensible, incluidos documentos y archivos compartidos por WhatsApp. En estos casos no estamos ante simples estafas de ingeniería social, sino ante operaciones de ciberespionaje cuidadosamente preparadas.

La campaña combina herramientas desarrolladas a medida con utilidades de código abierto, y utiliza vectores de acceso inicial como kits de explotación, correos de spear phishing y documentos maliciosos adaptados a cada objetivo. Una vez que logran entrar en la red de la organización, despliegan distintos módulos para escalar privilegios, moverse lateralmente y extraer datos de manera sigilosa.

Buena parte de su infraestructura se basa en scripts de PowerShell, que permiten ejecutar instrucciones maliciosas, instalar más malware y mantener el acceso persistente aprovechando funciones legítimas del propio sistema operativo. Esto dificulta que las soluciones de seguridad distingan entre uso normal y actividad maliciosa; si te preocupa, aprende a saber si espían tu móvil.

Entre las herramientas usadas destaca BabShell, una reverse shell que da a los atacantes acceso directo a los equipos comprometidos, con capacidad para recopilar información como usuario, nombre del equipo y dirección MAC. También se apoya en módulos como MemLoader HidenDesk, diseñado para cargar código malicioso íntegramente en memoria utilizando técnicas de cifrado y compresión para eludir detección.

Un rasgo relevante de esta campaña es que pone el foco en la extracción de archivos asociados a WhatsApp, desde documentos confidenciales hasta imágenes y archivos comprimidos que los empleados comparten en sus conversaciones. La infraestructura de mando y control usa dominios, IPs, DNS comodín, VPS y servicios en la nube para ser resiliente, generar subdominios únicos y complicar el rastreo.

Los analistas de Kaspersky recomiendan a las organizaciones reforzar su postura de seguridad instalando agentes de protección en todos los equipos sin excepción, revisando cuidadosamente los privilegios de cuentas de usuario, adoptando soluciones EDR/XDR como Kaspersky Next y contratando servicios de detección y respuesta gestionada cuando no se cuenta con personal propio suficiente.

WhatsApp, Meta y la polémica sobre la privacidad interna

La seguridad de WhatsApp no solo depende de lo que hagan los atacantes externos, sino también de cómo gestiona Meta la privacidad y la protección de datos desde dentro. En este sentido, la demanda presentada por Attaullah Baig, antiguo responsable de ciberseguridad de WhatsApp, ha levantado muchas dudas en torno a los controles internos de la compañía.

Según la denuncia presentada en un tribunal federal de San Francisco, Baig sostiene que alrededor de 1.500 ingenieros de Meta tenían acceso prácticamente ilimitado a datos sensibles como contactos, direcciones IP y fotos de perfil, sin registros adecuados ni auditorías que permitan controlar quién accede a qué y cuándo.

El exdirectivo también afirma que la empresa carecía de un Centro de Operaciones de Seguridad operativo 24/7, lo que dificultaba la detección y respuesta rápida a incidentes. En la documentación judicial se habla de más de 100.000 hackeos y suplantaciones de cuentas diarios reportados internamente, supuestamente sin una reacción a la altura por parte de la dirección.

La demanda nombra a ejecutivos como Will Cathcart (responsable de WhatsApp) y Mark Zuckerberg (CEO de Meta) y se enmarca en la orden de consentimiento de la FTC de 2020, derivada del caso Cambridge Analytica, que obliga a la compañía a mantener estrictos programas de privacidad hasta 2040. Meta, por su parte, sostiene que el despido de Baig fue legítimo y respaldado por evaluaciones internas y por el Departamento de Trabajo de EE. UU.

Este caso reabre el debate sobre si WhatsApp está haciendo lo suficiente para garantizar que la privacidad no se vea comprometida por accesos internos no controlados. Muchas voces piden auditorías independientes y mayor transparencia para comprobar si los mecanismos de protección se aplican de forma real y no solo sobre el papel.

Dispositivos antiguos, fin de soporte y nuevos riesgos de seguridad

Otro frente que suele pasar desapercibido es el de los móviles antiguos que se quedan sin actualizaciones. WhatsApp, igual que otras aplicaciones, va elevando con el tiempo los requisitos mínimos para poder seguir funcionando con todas las garantías, tanto por razones técnicas como de seguridad.

Meta ha anunciado que, a partir de ciertas fechas, se dejará de dar soporte a versiones de Android anteriores a la 5.0 (Lollipop) y a iPhone que no hayan podido actualizarse al menos a iOS 15.1. Esto incluye modelos veteranos como el Samsung Galaxy S4, el Sony Xperia M, el Huawei Ascend Mate, buena parte de la gama LG Optimus de la época, el Lenovo A820 y múltiples smartphones lanzados antes de 2014.

En el ecosistema de Apple, la medida afecta a terminales como el iPhone 6S, el primer iPhone SE, el 6S Plus y todos los modelos anteriores (iPhone 4, 5, 5C, etc.) que no alcancen el sistema requerido. Estos dispositivos podrán, en algunos casos, seguir usando la app, pero sin recibir nuevas versiones ni parches de seguridad.

El motivo es técnico: los estándares de cifrado y los protocolos de comunicación evolucionan y requieren capacidades que los sistemas operativos antiguos ya no ofrecen. Mantener compatibilidad indefinidamente con plataformas obsoletas implica dejar huecos sin parchear que pueden ser aprovechados por atacantes.

Si sigues usando WhatsApp en uno de estos dispositivos desactualizados, la aplicación puede funcionar aparentemente con normalidad, pero cualquier vulnerabilidad nueva que se descubra no será corregida. Eso convierte el móvil en una puerta de entrada mucho más fácil para espionaje, robo de información o instalación de malware.

Por este motivo, desde la propia plataforma se sugiere que, si tu teléfono está en la lista de no compatibles, hagas una copia de seguridad de tus chats, migres a un dispositivo más moderno y consideres desinstalar la app del terminal antiguo. Puede resultar incómodo cambiar de móvil, pero dejar tu información personal en un entorno sin parches es una apuesta arriesgada.

Todo lo que rodea a WhatsApp, desde la descarga automática de archivos hasta la clonación de cuentas, las campañas avanzadas de espionaje, la gestión interna de la privacidad y el uso de móviles viejos sin soporte, muestra que la ciberseguridad ya forma parte inseparable de nuestra vida cotidiana. Ajustar bien la configuración de la app, desconfiar de códigos y enlaces, proteger el dispositivo, actualizar el sistema y mantener una actitud crítica ante mensajes alarmistas o demasiado urgentes es lo que marca la diferencia entre usar WhatsApp con relativa tranquilidad o convertirse en la próxima víctima de un ataque que, casi siempre, se podría haber evitado.